Iog4j2漏洞相关技术分析

最新推荐文章于 2023-06-06 15:26:35 发布
最新推荐文章于 2023-06-06 15:26:35 发布
阅读量2.9k 收藏
点赞数
分类专栏: 极光认证 push 移动应用 文章标签: 安全 系统安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jpush/article/details/122253563
版权

在这里插入图片描述
背景
2021年12月初,极光安全团队通过安全威胁舆情发现Apache Log4j2 存在远程代码执行漏洞,迅速对该漏洞危害性评估和涉及面漏斗分析,制定了应急响应方案,对涉及到的代码组件类和主机资产类快速整理,外部安全扫描对该漏洞进行优先级扫描,避免威胁进一步扩大和阻断,对内推动该漏洞版本组件的修复进度,持续关注该漏洞组件的后续发展。
本文通过构造环境复现漏洞,了解这个漏洞产生的原因,分析修复漏洞方法,研究学习背后的相关技术。
漏洞影响
Log4j2作为java代码项目中广泛使用的开源日志组件,漏洞影响范围极广,堪称史诗级、核弹级漏洞。
直接和间接依赖Log4j2的开源组件总计有17万个,也就是说有至少17万个开源组件是受Log4j2漏洞影响GitHub作为全球最大的开源代码托管平台,抽样分析发现至少5.8%的java开源项目受该漏洞影响
在java语言的开源组件流行度排行中,Log4j2列第13位
漏洞复现
利用漏洞攻击过程
在这里插入图片描述

复现代码
github地址https://github.com/zheng93775/log4j2-attack 按照README.md里面的步骤可以完整运行整个流程模块说明

模块 说明
在这里插入图片描述

business-app 正常的业务应用
marshalsec 攻击方搭建,用于启动LDAP服务的开源工具
evil-http-server 攻击方搭建,启动Http服务,提供恶意代码下载
evil-http-server
首先我们准备一个含有恶意执行代码的类,恶意代码执行时会在Windows下启动计算器
在这里插入图片描述

使用SpringMVC的Controller,http请求返回的相应是恶意类的二进制字节码

在这里插入图片描述

编译后,启动服务,监听9090端口

最低0.47元/天 解锁文章
极光推送
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1644
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
Log4j2的JNDI注入漏洞原理分析与思考
m0_69745415的博客
05-05 444
因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法: Log4j2分为2个jar包,一个是接口 log4j-api-版本号.jar ,一个是具体实现 log4j−core−{版本号}.jar ,一个是具体实现 log4j-core-版本号.jar ,一个是具体实现 log4j−core−{版本号}.j
Log4J2入门·配置详解
java的平凡之路
05-11 566
一、    关于Log4J 2015年5月,Apache宣布Log4J 1.x 停止更新。最新版为1.2.17。 如今,Log4J 2.x已更新至2.7。 官方网址:http://logging.apache.org/log4j/2.x/ 二、    Log4J能做什么? 1.    将信息送到控制台,文件,GUI组件等。 2.    控制每条信息的输出格式。
Web环境使用Lo4j2
fx9590的博客
06-14 340
今天在web环境下使用log4j2出现了一个错误找不到路径问题,log4j2配置文件如下: <?xml version="1.0" encoding="UTF-8"?> <Configuration status="WARN"> <!-- 这个status是控制系统信息的输出级别 --&
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5179
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
iog
03-28
标题 "iog" 提到的是一个项目,很可能是一个基于 Node.js 的 Web 开发框架或者应用。根据描述,我们可以推测这是一个包含 API 和前端组件的项目,它支持使用 `yarn` 或 `npm` 进行管理和运行。让我们深入探讨一下...
app.Iog
最新发布
04-13
app.Iog
PyPI 官网下载 | iog-randomizer-4.0.4.tar.gz
01-12
“iog-randomizer”这个名字暗示了它可能与游戏或模拟有关,特别是考虑到“randomizer”一词,这通常指的是随机化某些元素的工具。在这个特定的版本4.0.4中,我们可以通过解压“iog-randomizer-4.0.4.tar.gz”来获取...
lombok编译时注解@Slf4j的使用及相关依赖包
weixin_40571937的博客
10-12 1万+
相关依赖的导入 slf4j是一个日志门面模式的框架,只对调用者开放少量接口用于记录日志 主要接口方法有 debug warn info error trace 在idea中可以引入lombok框架,使用@Slf4j注解,在编译时动态成功日志调用实例。 <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId>
log4j2 jndi注入漏洞复现
朴实,坚持,兴趣
12-12 1万+
log4j2 jndi注入漏洞复现
Java的常用日志技术(三)Log4j2及Log4j2与slfj整合详解
qq_41946216的博客
06-04 3738
log4j2
log4j2 的使用【超详细图文】
qq_43842093的博客
12-21 6304
log4j2 的使用 Apache Log4j2 是对Log4j 的升级版本,参考了logback 的一些优秀的设计,并且修复了一些问题,因此带来了一些重大的提升,主要有: 异常处理,在logback中,Appender中的异常不会被应用感知到,但是在log4j2中,提供了一些异常处理机制。 性能提升,log4j2 相较于log4j 和 logback 都具有明显的性能提升,有18倍性能提升,后面会有官方测试的数据。 自动重载配置,参考了logback的设计,当然会提供自动刷新参数配置,最实用的就是我们在
Java 日志框架Log4J2
追寻心的步伐
06-06 844
官网: https://logging.apache.org/log4j/2.x/Log4j2:其是Apache推出一个日志实现框架同时也是一个日志门面,是Log4j的升级版,参考了logback的一些优秀设计并修复了一下问题,包含着重大的提升,主要有如下:异常处理:在logback中,Appender的异常不会被应用感知到,但是在log4j2中提供了一些异常处理机制。性能提升:Log4j2相对于log4j和logback都具有很明显的性能提升,大约有18倍。
Log4j2-Log4j 2介绍及使用
小工匠
07-15 3万+
Log4j 2 官网https://logging.apache.org/log4j/2.x/Log4j 2简介Log4j的1.x版本已经被广泛使用于很多应用程序中。然而,它这些年的发展已经放缓。它变得越来越难以维护,因为它需要严格遵循很老的Java版本,并在2015年8月寿终正寝。它的替代品,SLF4J和Logback对框架做了很多必要的改进。那么为什么还要费心去做Log4j 2呢?几个原因如下:
Log4j 2使用教程
MemRay
12-22 1万+
转载自 Blog of 天外的星星: http://www.cnblogs.com/leo-lsw/p/log4j2tutorial.html Log4j 2的好处就不和大家说了,如果你搜了2,说明你对他已经有一定的了解,并且想用它,所以这里直接就上手了。   1. 去官方下载log4j 2,导入jar包,基本上你只需要导入下面两个jar包就可以了(xx是乱七八糟的版本号):  
日志--门面及实现框架 自用解析
cq724165616的博客
05-16 773
日志 概述 日志文件是用于记录系统操作时间的文件集合。可分为事件日志和消息日志。具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。 调试日志 开发中使用日志能够更加灵活和方便的去重现开发中的的bug问题。 系统日志 系统日志是记录系统中硬件、软件和系统问题的信息,还可以监视系统中发生的事件。可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 java日志框架 日志门面 : JCL 、 slf4j 日志实现 : JUL 、 l
log4j2 实际使用详解
热门推荐
人不风流枉少年
05-12 14万+
一、目录简介 基础部分 日志框架简单比较(slf4j、log4j、logback、log4j2 ) log4j2基础知识 log4j2实用配置 实战部分 slf4j + log4j2 实际使用 二、日志框架比较(slf4j、log4j、logback、log4j2 ) 日志接口(slf4j) slf4j是对所有日志框架制定的一种规范、标准、接口,并不是一个框架的具体的实现,因为接口并不能独立使
log4j2的使用
chens616的专栏
07-19 3072
log4j2简介 logback是由log4j的创始人开发的新日志框架,包括三个模块: logback-core logback-classic logback-access logback-core是核心模块,logback-classic是日志框架,相当于log4j,logback很好的实现了slf4j,logback-access提供跟web 容器有关的日志访问功能。 logback与l...
艾默生AVF700-48S28模块电源技术参考
"艾默生的AVF700-48S28模块电源产品说明书详细介绍了这一系列隔离型直流-直流转换器的技术规格、功能特点和应用场景。这款产品适用于需要高效、高密度电源解决方案的工业环境。" 艾默生的AVF700-48S28系列是一款...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值