如何验证自己的项目是否有Log4j2远程代码执行漏洞(复现错误)?

最新推荐文章于 2024-04-18 20:27:39 发布
最新推荐文章于 2024-04-18 20:27:39 发布
阅读量2.7k 收藏 2
点赞数 3
分类专栏: 杂文随记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41029282/article/details/121926556
版权

直接项目全局搜索log4j,有就改掉pom.xml.

 如何验证一下呢?

    /**
     * 测试漏洞
     *
     * @return
     */
    @GetMapping("testLog")
    public void testLog(@RequestParam String testLog){
        log.info("testLog:"+testLog);
    }

 请求参数时:${java:os}

 查看打印log。 出现  testLog:Linux。  说明传入的${java:os}竟然被执行了。

 我们去看这次错误的相关报道时,会看到 JNDI注入缺陷  这个词语。

有兴趣可看这篇文章腾讯安全应急响应中心关于JNDI的文章

 里面提到一个方法lookup()

原文:JNDI接口在初始化时,可以将RMI URL作为参数传入,而JNDI注入就出现在客户端的lookup()函数中,如果lookup()的参数可控就可能被攻击

这里可以验证,Log4j2的漏洞就是通过这个lookup()进去的。

我们把传入的${java:os}改为传入的${java:os1}

 查看打印的日志。

at org.apache.logging.log4j.core.lookup.JavaLookup.lookup(JavaLookup.java:116)

log4j打印日志时,如果以${}开始,就会进入此方法。此方法会造成的问题可自行百度(可远程执行任意代码)。

 修复方法:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j2</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-api</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.logging.log4j</groupId>
                    <artifactId>log4j-core</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.15.0</version>
        </dependency>

 疑问

以后政府,军工,大厂会把所有代码的源码都自己审核吗?

maven用阿里巴巴,Apache的RELEASE版本,理论上,管理者也可以修改吧?

这个问题能潜伏这么久还是有点儿灯下黑的意思。可能会让某些大厂或者政府智慧工程重新审视开源软件。

bulingbuling^_^
关注
专栏目录
漏洞复现】Apache Log4j2 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
07-20 970
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
Log4j2远程代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
Log4j 漏洞修复和临时补救方法
12-14 3825
1.2 漏洞评级及影响版本 Apache Log4j 远程代码执行漏洞 严重 影响的版本范围:Apache Log4j 2.x <= 2.14.1 2.log4j2 漏洞简单演示 创建maven工程 引入jar包依赖 <dependencies> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifa
spring-boot-starter-log4j2漏洞修复方式
dhj8933的博客
12-14 4146
spring-boot-starter-log4j2漏洞修复方式
log4j2.xml配置文件不生效
hey_wei_ran的博客
03-18 1149
log4j2.xml配置文件不生效
在IDEA的java项目中使用log4j,配置文件log4j2-test.xml不生效
李闪闪
10-03 4598
1、log4j2-test.xml配置看官网:Log4j – Configuring Log4j 2https://logging.apache.org/log4j/2.x/manual/configuration.html 2、问题:控制台输出日志信息,修改level的的值不生效,仍是只能输出error以上级别的信息 <?xml version="1.0" encoding="UTF-8"?> <Configuration status="warn"> <Appen
Log4j2.xml不生效:WARN StatusLogger Multiple logging implementations found:
听香水榭
11-24 1691
处理log4j2.xml不生效问题
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 9946
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
最新发布
2301_76225520的博客
04-18 1101
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1778
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码
log4j不能生成日志问题
阿偶灬的专栏
05-23 6047
log4j不能在配置目录下生成文件有两个原因: 1、没有权限 2、路径错误 当我们配置log4j.appender.logfile.File=../logs/vpn.log为相对路径的时候,启动tomcat只能在bin目录下shstartup.sh,而不能在其他目录下启动,如在tomcat目录下./bin/startup.sh启动; 如果log4j.appender.logfile.Fi...
log4j不生成日志文件的问题
weixin_30832983的博客
07-08 1933
直接看我的注解吧 注意地址的斜杠,还有地址别写什么相对地址了,这包太老了,服务器update一下兼容问题就出来了。 #第一个参数定义达到什么程度就输出 第二第三....第N 定义输出的类型 #debug<info<worn<error log4j.rootLogger=debug, stdout ,R ### direct log messages to stdo...
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
weixin_44047654的博客
12-13 1876
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
springboot log4j升级log4j2
Mint6的博客
05-13 1658
log4j2升级步骤 在多线程情况下,使用log4j可能会阻塞其他线程,从而导致整体性能下降并出现性能瓶颈。所以需要升级到性能更好并支持异步的log4j2
你所不知道的日志异步落库
好好学java
04-07 232
点击上方好好学java,选择星标公众号重磅资讯、干货,第一时间送达 今日推荐:牛人 20000 字的 Spring Cloud 总结,太硬核了~作者:程序诗人 出处:http...
logback替换log4j
weixin_30810583的博客
01-11 279
1.新建logback.xml放在src目录下(放在src下会自动加载,不需要再web.xml配置) 2.引入必要的jar包; 转载于:https://www.cnblogs.com/chafe/p/6274322.html
log4j各项配置都正确,却不能在生成日志文件、控制台也无法打印日志信息
tmax52HZ的博客
10-14 2573
log4j各项配置都正确,却不能在生成日志文件、控制台也无法打印日志信息 log4j.rootLogger=info, stdout,file//输出源>=info,控制台输出和文件输出 log4j.appender.stdout=org.apache.log4j.ConsoleAppender//控制台输出 log4j.appender.stdout.Target=System.out ...
Log4j2 CVE-2021-45046 鸡肋RCE漏洞复现与浅析
mole_exp的博客
12-21 4629
文章目录0x00 前言 0x00 前言 自从上上周四(12月9日晚)Log4Shell(CVE-2021-44228)漏洞被披露后引发了安全圈地震,笔者就立刻对该漏洞进行复现和分析,并持续跟踪这个漏洞后续的资讯动态。
解决log4j2配置文件失效的问题
Parker的博客
07-19 1万+
今天运行项目的时候,查看控制台突然发现日志的输出格式变了,但最近又没动过log4j的配置文件,所以非常的困惑。 最后怀疑是加载了别的地方的配置文件或者因为某些原因使用了默认的配置属性。 后来在网上发现很多相类似的问题,其中大多数原因都是因为包冲突或包里含有额外的配置文件等造成的。 由此我也怀疑是最近新增加的activemq-all包而引发的问题。 于是在Tomcat的VM参数里添加-Dlo...
log4j远程代码执行漏洞复现
08-14
漏洞复现涉及到潜在的非法行为和对他人系统的攻击,这是不被允许的。 如果你对最新漏洞感兴趣,我建议你关注安全研究人员、安全社区或供应商发布的漏洞公告和安全更新。这些信息可以帮助你了解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值