【JAVA】Gitlab上Log4j2漏洞项目批量查找,依赖检索

最新推荐文章于 2024-06-13 15:41:25 发布
置顶 最新推荐文章于 2024-06-13 15:41:25 发布
阅读量6.2k 收藏 2
点赞数 5
分类专栏: Java Tool 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37822090/article/details/121920511
版权
Java 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
Tool
12 篇文章 0 订阅
订阅专栏

目录

一、概述

二、具体实现

1.产出依赖结果树

(1)gitlab项目信息获取

(2) 分析pom.xml文件

(3)执行依赖分析,生成依赖结果Tree

2.解析依赖结果树

三、附言

一、概述

前几天,Apache Log4j2 爆出远程代码执行漏洞,攻击者可利用该漏洞构造特殊的数据请求包,最终触发远程代码执行,对于JAVA项目来说,Log4j几乎是必备的组件,漏洞的爆出直接覆盖了一大堆java项目。

首先需要找出哪些项目可能会被本漏洞影响,才能完成漏洞修复,这便是个比较麻烦的问题,因为项目依赖中存在嵌套的关系,很难从表面分辨哪些项目存在log4j2依赖包。

二、具体实现

本方案通过gitlab api获取项目信息,对pom.xml依赖进行分析,产出依赖关系tree,可以很清晰的找出哪些项目依赖了哪些包,对项目的依赖关系tree进行分析和整理可以批量获取存在漏洞的项目。

1.产出依赖结果树

服务依赖:

      <dependency>
          <groupId>com.messners</groupId>
          <artifactId>gitlab-api</artifactId>
          <version>3.0.1</version>
      </dependency>
      <dependency>
          <groupId>org.apache.maven.shared</groupId>
          <artifactId>maven-invoker</artifactId>
          <version>3.0.1</version>
      </dependency>
      <dependency>
          <groupId>org.whitesource</groupId>
          <artifactId>maven-dependency-tree-parser</artifactId>
          <version>1.0.5</version>
      </dependency>

(1)gitlab项目信息获取

需要先获取一个管理员账号token,使用api拉取项目信息。

由于gitlab存在fork机制,故只需要获取具备group的project即可。

核心源码:

List<Project> projectList = new ArrayList<>();
List<Group> groupList = gitlabApiService.getAllGroups(gitlabHost, privateToken);
List<Integer> groupIdList = groupList.parallelStream().map(Group::getId).collect(Collectors.toList());
groupIdList.parallelStream().forEach(id -> {
	try {
		Group group = api.getGroupApi().getGroup(id);
		List<Project> projects = group.getProjects();
		projectList.addAll(projects);
	} catch (GitLabApiException e) {
		e.printStackTrace();
	}
});

projectList即为gitlab上所有项目信息

(2) 分析pom.xml文件

解析项目文件,生成pom.xml文件写入本地

public boolean copyPomFileFromGitlab(GitLabApi api, Integer projectId, String projectName) throws Exception {
	boolean rootPomExists = false;
	log.info("解析项目{}文件开始", projectName);
	List<TreeItem> itemList = api.getRepositoryApi().getTree(projectId);
	if (!CollectionUtils.isEmpty(itemList)) {
		for (TreeItem treeItem : itemList) {
			if (treeItem.getType() == TreeItem.Type.BLOB && treeItem.getName().equals("pom.xml")) {
				rootPomExists = true;
				String outputPath=baseDir + "/" + projectName +  "/pom.xml";
				String fromPath="pom.xml";
				outputFile(outputPath,fromPath,api,projectId);

			} else if (treeItem.getType() == TreeItem.Type.TREE) {

				List<TreeItem> treeItemList = api.getRepositoryApi().getTree(projectId, treeItem.getName(), "master");
				for (TreeItem item : treeItemList) {
					if (item.getType() == TreeItem.Type.BLOB && item.getName().equals("pom.xml")) {
						rootPomExists = true;
						String outputPath=baseDir + "/" + projectName + "/" + treeItem.getName() + "/pom.xml";
						String fromPath="/" + treeItem.getName() + "/" + "pom.xml";
						outputFile(outputPath,fromPath,api,projectId);
					}
				}
			}
		}
	}
	return rootPomExists;
}

(3)执行依赖分析,生成依赖结果Tree

获取项目关键信息,定义关键tree名:

if (copyPomFileFromGitlab(api, project.getId(), project.getName())) {
	String prefix = project.getPathWithNamespace().replace("/","_")+"-";

	String pomPath = String.format("%s/%s/pom.xml", baseDir, project.getName());
	String outputFileTree = String.format("%s/%s/%stree.txt", baseDir, project.getName(),prefix);
	//执行maven dependency
	List<DependencyInfo> dependencyListOfJava = MavenUtil.getDependenncyList(pomPath, outputFileTree, mavenHomePath);
}

产出项目依赖关系tree,落到本机文件:

public static List<DependencyInfo> getDependenncyList(String pomPath, String outputFilePath, String mavenHomePath) {
	List<DependencyInfo> dependencyInfoList = new ArrayList<>();
	InvocationRequest request = new DefaultInvocationRequest();
	request.setPomFile(new File(pomPath));
	String commond = String.format("dependency:tree -DoutputFile=%s -DoutputType=text", outputFilePath);
	request.setGoals(Collections.singletonList(commond));

	Invoker invoker = new DefaultInvoker();
	invoker.setMavenHome(new File(mavenHomePath));
	try {
		InvocationResult invocationResult = invoker.execute(request);
		if (invocationResult.getExecutionException() == null) {
			log.info("依赖树文件生成成功:{}", outputFilePath);
		}

		File f = new File(outputFilePath);
		if (!f.exists()) {
			f.getParentFile().mkdir();
			f.createNewFile();
		}
		FileInputStream fis = new FileInputStream(f);
		Reader reader = new BufferedReader(new InputStreamReader(fis));
		InputType type = InputType.TEXT;
		Parser parser = type.newParser();
		Node node = parser.parse(reader);
		LinkedList<Node> nodeLinkedList = new LinkedList<>();
		getAllNodeList(node, nodeLinkedList);
		dependencyInfoList = nodeLinkedList.parallelStream().map(n -> {
			DependencyInfo dependencyInfo = new DependencyInfo();
			dependencyInfo.setGroupId(n.getGroupId());
			dependencyInfo.setArtifactId(n.getArtifactId());
			dependencyInfo.setPackaging(n.getPackaging());
			dependencyInfo.setVersion(n.getVersion());
			dependencyInfo.setSourcePath("pom.xml");
			return dependencyInfo;
		}).collect(Collectors.toList());
	} catch (Exception e) {
		e.printStackTrace();
	}
	return dependencyInfoList;
}


public static void getAllNodeList(Node node, LinkedList<Node> nodeLinkedList) {
	nodeLinkedList.add(node);
	if (node.getChildNodes().size() != 0) {
		node.getChildNodes().parallelStream().forEach(n -> getAllNodeList(n, nodeLinkedList));
	}
}

最终生成的文件结构信息:

 打开tree文件,可以很清楚的看到有使用到log4j2相关依赖:

2.解析依赖结果树

实现方案:识别txt文件,获取存在字符串为"log4j-api:jar:2."的项目信息(具体查找哪个包可自行调整输入参数)

核心源码:

public static void writeLog4jInfo(String containsStr){

	Map<String,String> treeMap = buildLog4jInfoByTree(baseDir,containsStr);

	log.info("writeLog4jInfo-treeMap.size:"+treeMap.size());

	FileUtil.write(RESULT_PATH,treeMap);

	log.info("writeLog4jInfo-success!");
}

private static Map<String,String> buildLog4jInfoByTree(String path,String containsStr){
	Map<String,String> relMap = new HashMap<>();
	Map<String,String> map = getLog4J2Files(path,containsStr);
	if(!CollectionUtils.isEmpty(map)){
		map.keySet().stream().forEach(k->{
			try {
				String name = k.substring(k.lastIndexOf("/")+1);
				name = name.substring(0,name.indexOf(TREE_SUFFIX)-1);
				relMap.put(name,map.get(k).trim().replace("+-","")
				.replace("|","").replace(" ","")
						.replace("\\-",""));
			} catch (Exception e) {
				e.printStackTrace();
			}
		});
	}
	return relMap;
}

private static Map<String,String> getLog4J2Files(String path,String containsStr) {
	Map<String,String> log4j2Files = new HashMap<>();
	List<String> list = new ArrayList<>();
	listTxt(path, list);

	list.stream().forEach(k -> {
		String findStr = findStringInFile(k, containsStr);
		if (findStr!=null) {
			log4j2Files.put(k,findStr);
		}
	});
	return log4j2Files;
}

private static void listTxt(String path, List<String> list) {
	if (list == null) {
		list = new ArrayList<>();
	}
	File file = new File(path);
	File[] array = file.listFiles();

	for (int i = 0; i < array.length; i++) {
		if (array[i].isFile()) {
			if (array[i].getName().endsWith("txt")) {
				list.add(array[i].getPath());
			}
		} else if (array[i].isDirectory()) {
			listTxt(array[i].getPath(), list);
		}
	}
}

private static String findStringInFile(String path, String containsStr) {
	InputStreamReader read = null;
	BufferedReader bufferedReader = null;
	String result = null;
	try {
		File file = new File(path);
		read = new InputStreamReader(new FileInputStream(file), "UTF-8");
		bufferedReader = new BufferedReader(read);
		String line = null;
		while ((line = bufferedReader.readLine()) != null) {
			if (line.contains(containsStr)) {
				result = line.trim();
				break;
			}
		}
	} catch (IOException e) {
		e.printStackTrace();
	} finally {
		try {
			if (bufferedReader != null) {
				bufferedReader.close();
			}
			if (read != null) {
				read.close();
			}
		} catch (IOException e) {
			e.printStackTrace();
		}
	}
	return result;
}

最终效果展示(自行处理下log4j2-info.txt文件):

三、附言

1.项目指导人:咖啡男孩之SRE之路_牛麦康纳_CSDN博客-互联网,Spinnaker,Python领域博主

此技术方案由项目指导人指导,博主为部分代码实现者

2.代码不够规范,主要以实现功能为主

3.目前只适配使用maven pom.xml构建的java项目,gradle也可以以同样方式实现

4.gitlab需要根据版本适配对应的api

 对您有作用,还请点个赞

xbl丶
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
如何从Log4j漏洞检测和保护Java应用程序
i6588662的博客
03-18 404
ApacheLog4j是Java开发人员流行的开源日志库,最近遇到了一个与安全相关的大规模漏洞。由于它的普及,许多组织都受到了这一漏洞的影响。有关最新消息,请参阅网站关于特定的问题和补丁。这里是另一篇详细解释核心问题的文章。 Log4j版本2.x中发现的安全问题列表: CVE-2017-5645ApacheLog4j套接字接收器反序列化漏洞(严重性-中度) CVE-2020-9488:Apache Log4j SMTP Appder中存在主机不匹配的证书验证不当(严重性-低) CVE-2021-..
mvn dependency:tree插件(mvn helper)使用
南有南无
03-24 4413
转:https://www.oschina.net/news/69858/java-developer-need-intellij-idea-plugin Maven Helper插件安装 插件使用: 我一般用这款插件来查看maven依赖树。在不使用此插件的情况下,要想查看maven依赖树就要使用Maven命令maven dependency:tree来查看依赖。想要查看是否有依赖冲...
idea 找到多个名为log4j的片段。这是不合法的相对排序。
输微
08-14 4885
13-Aug-2020 16:29:58.965 严重 [RMI TCP Connection(3)-127.0.0.1] org.apache.tomcat.util.modeler.BaseModelMBean.invoke 调用方法[manageApp]时发生异常 java.lang.IllegalStateException: 启动子级时出错 at org.apache.catalina.core.ContainerBase.addChildInternal(ContainerBase.jav
Maven Dependency Tree:深入理解你的项目依赖
最新发布
一起coding,一起嗨。
06-13 685
Maven Dependency Tree:深入理解你的项目依赖
Log4j日志依赖
weixin_30298497的博客
11-12 237
<!-- https://mvnrepository.com/artifact/log4j/log4j --><dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</versi...
如何检查您的服务器是否容易受到 log4j Java 漏洞利用 (Log4Shell) 的影响
学海无涯苦作舟的博客
12-18 2389
在广泛使用Java 库中发现了一个关键漏洞,当服务器管理员争先恐后地修复它时,它扰乱了大部分互联网。易受攻击的组件log4j到处都用作包含的库,因此您需要检查服务器并确保它们已更新。 这个漏洞是如何工作的? 就漏洞利用而言,漏洞log4j 是过去几年中最严重的漏洞 之一,在CVSS 量表上获得罕见的 10/10 得分,并将在未来多年困扰整个互联网。 更糟糕的是,log4j 它不是一个应用程序——它是一个被许多其他应用程序使用的开源库。您可能没有直接安装它;它可能包含在其他.jar 文件中,或由其他应用.
利用极狐GitLab DevSecOps 功能检测 log4j 的多种方式
DevOps008的博客
12-20 1803
极狐GitLabDependency Scanning 和 Image scan 功能都可以扫描出最近火爆的 log4j 漏洞
log4j使用示例
仰天长啸出门去,叱诧风云天地间!
01-06 1715
log4j使用示例--by blues(zhaochaohua@sina.com)PART 1 介绍log4j的好处在于:1.通过修改配置文件,就可以决定log信息输出到何处(console,文件,...),是否输出。这样,在系统开发阶段可以打印详细的log信息以跟踪系统运行情况,而在系统稳定后可以关闭log输出,从而在能跟踪系统运行情况的同时,又减少了垃圾代码(System.out.printl
log4j2漏洞检测工具
05-07
这包括检查项目依赖树,查找可能包含Log4j2的jar包或者模块。 2. **深度分析**: 工具会深入分析代码,找出所有使用Log4j2的地方,特别是那些可能接收用户输入或网络数据的地方,这些地方是漏洞可能被触发的关键点...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 是一个广泛使用Java日志框架,它为开发者提供了强大的日志记录功能。然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的...
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
基于Java的Apache Log4j 2日志记录库设计源码
05-22
Apache Log4j 2日志记录库设计源码:该项目基于Java开发,包含5874个文件,主要使用Java、Shell和JavaScript语言。Apache Log4j 2是一个升级版的Log4j,它在Log4j 1.x的基础上提供了显著的改进,并提供了Logback的...
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4086
spring-boot-starter-log4j2漏洞修复方式
Apache Log4j 远程代码执行漏洞批量检测工具
保持微笑的博客
01-10 3021
漏洞描述 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 影响版本 Apache Log4j 2.x < 2.15.0-rc2 影响范围 含有该漏洞的Log4j影响到超过 6000个中间件或应用,目前已知的可能受影响的应用及组件包括但不限于如下清单中所列出的: Sp...
log4j2远程代码执行漏洞Maven依赖扫描脚本
BenchengZ的博客
12-14 3683
log4j2远程代码执行漏洞Maven依赖扫描脚本背景脚步代码功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 背景 网络有很多关于该漏洞的详细信息,此处就贴一个链接吧: 老板发了个邮件提示我们查看自己的代码是否有使用对应lib,
内网打靶练习(log4j2、私钥泄露)
博客地址 www.sec0nd.top
05-20 1333
文章目录靶机背景介绍getshell (log4j2 RCE)漏洞验证存在注入的点反弹shell域渗透 靶机背景介绍 搭建靶机的过程过几天我再写,先写一下复现的过程(最近有些懒了) web服务端:centos 192.168.80.130(外) 192.168.75.130(内) 内网的主机:Windows10 192.168.75. kali攻击机:kali 192.168.80.131 getshell (log4j2 RCE) 来看一下web服务端,是一个solr框架昂 然后我们看一下so
从公司gitlab获取所有依赖的jar包坐标
jingyulanye的专栏
08-09 3012
从公司gitlab获取所有java项目依赖的jar包坐标背景公司“安全专员”想方便的拿到公司所有java项目依赖的jar包坐标,方便他从“论坛”上发现什么jar存在安全漏洞时,及时知道我们公司是否也有对该jar包的依赖,以及对应的项目和负责人。分析我们内部代码管理工具是gitlab,采用master分支发布,只需分析master依赖即可。思路是先拿到所有项目的代码,然后通过maven depende
log4j详解
碧海蓝天
10-13 483
本文转载地址:http://www.iteye.com/topic/378077 转载声明:转载本文只是用于个人学习,个人尽力告知原作者并请求转载。由于某方面原因未能告知请见谅,原作者如若不允许转载,请留言。本人会在第一时间内删掉本转载文章 -----------------
Log4j2官方文档:下一代Java日志框架详解
Apache Log4j 2 是一个重要的日志管理框架,作为 Log4j 1.x 的替代品,它在设计和功能上进行了显著改进。Log4j 1.x 在过去的岁月里被广泛应用,但由于其与旧版本 Java 的兼容性需求,维护变得困难。Log4j 2.5 用户...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值