Apache Log4j 漏洞分析

于 2024-03-07 16:27:29 发布
阅读量875 收藏 7
点赞数 6
文章标签: apache log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73826804/article/details/136537806
版权
本文详细阐述了Log4j1.2版本中的CVE-2019-17571漏洞,涉及未验证的序列化和远程代码执行风险。通过环境搭建、测试方法和Ysoserial利用示例,以及官方的修复建议,为开发者提供了理解和防护指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

仅用于研究漏洞原理,禁止用于非法用途,后果自负!!!

CVE-2019-17571

漏洞描述

Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。

环境搭建

方便测试,添加JDK7U21的漏洞环境

  1. 新建Maven项目,pom.xml中添加
<dependencies>
    <dependency>
        <groupId>log4j</groupId>
        <artifactId>log4j</artifactId>
        <version>1.2.17</version>
    </dependency>
</dependencies>
  1. 编写测试方法
public class CVE_2019_17571 {

    private static final Logger log = Logger.getLogger(SimpleSocketServer.class);
    public static void main(String[] args) {

        System.out.println("start:");

        String[] argss = {"4444", "src/
最低0.47元/天 解锁文章
Hiun9
关注
Apache Log4j2漏洞复现
qq_62056583的博客
07-20 960
复现并分析CVE-2021044228】Apache Log4j2 Server 反序列化命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现该漏洞
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
1. `apache-log4j-2.19.0-bin.tar.gz`:这是 Log4j 的 2.19.0 版本二进制包,包含了最新的稳定版本,适用于需要快速修复安全漏洞的用户。 2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 ...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
(环境搭建+复现)CVE-2019-17571 Apache Log4j SocketServer 反序列化漏洞
daxi0ng的博客
04-03 9724
1、【CVE编号】 CVE-2019-17571 2、【漏洞名称】 Apache Log4j SocketServer 反序列化漏洞 3、【靶标分类】 通用漏洞组件类靶标 4、【影响版本】 Log4j1.2.x<=1.2.17 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个...
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1896
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
log4j反序列化漏洞分析(CVE-2019-17571)
杭州七先生的个人博客
04-07 1万+
前言 Apache Log4j反序列化漏洞 影响版本 1.2.4 <= Apache Log4j <= 1.2.17 漏洞复现 idea新建一个项目,如下图所示: log4j: import org.apache.log4j.net.SimpleSocketServer; public class log4j { public static void main(String[] args) { System.out.println("Listening on port
log4j.1.2.17
02-22
开发阶段发现程序的问题 , 排除错误 , 产品阶段 , 可以记录系统运行的一些状态信息 , 程序运行的状态 ,log4j.1.2.17
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
log4j CVE-2019-17571 漏洞复现
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
apache-log4j-1.2.17
09-28
apache-log4j-1.2.17解决导入问题,日志输出的问题,import
log4J-1.2.17.zip
09-06
在强调可重用组件开发的今天,除了自己从头到尾开发一个可重用的日志操作类外,Apache为我们提供了一个强有力的日志操作包-Log4jLog4jApache的一个开放源代码项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
Log4j 严重漏洞修最新修复方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
Log4j重大漏洞、看看我怎么重现与解决
技术分享、唠嗑水文、如有不周、还望海涵
12-11 4112
Log4j重大漏洞,看看我是如何重现危险场景及其背后的简单原理,最后来看看我是如何解决的。
apache log4j漏洞复现
热门推荐
Shanfenglan's blog
12-10 6万+
文章目录1. Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)利用条件利用2. CVE-2019-17571利用条件利用3. apache log4j rce利用条件环境搭建利用 1. Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645) Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 利用条件
「Java工具类」BeanCopyUtil对象复制工具类
Java Farmer
10-31 1万+
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
我也来复现一把log4j2远程执行漏洞
weixin_43472847的博客
12-12 471
环境:windows11 准备步骤: 1,项目代码地址: https://gitee.com/a-cat-walker/test-log4j2.git 2,修改Log4jRCE文件中的test.bat的路径,然后编译项目 3,把编译后的Log4jRCE.class文件拷贝到webapp目录下 4,执行mvn命令启动tomcat: mvn tomcat7:run 5,进入tools目录,然后执行: java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.j
Log4j漏洞修复方案
一颗学徒
12-13 4853
Log4j漏洞修复方案
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值