Java安全之log4j反序列化漏洞分析

最新推荐文章于 2024-08-06 21:30:42 发布
最新推荐文章于 2024-08-06 21:30:42 发布
阅读量825 收藏 2
点赞数
文章标签: log4j java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43966957/article/details/128476231
版权

Java安全之log4j反序列化漏洞分析

0x00 前言

前段时间在看某个cms代码的时候,发现log4j组件版本存在漏洞,并且开启了端口,但web站点是nginx反向代理的,而在外网并没有开放到该端口,所以并没有利用成功。但该漏洞遇到的比较少,就算一些cms中log4j组件版本存在漏洞,但是该漏洞需要使用SimpleSocketServer开启端口才能够接受socket中的数据进行反序列化操作,从而才能利用。

0x01 log4j 漏洞简介

漏洞简介

log4j用的其实还是比较多,记录一些Java的日志,这个相信接触过Java的都知道,在此不做多的赘诉。

漏洞版本:CVE-2019-17571

1.2.4 <= Apache Log4j <= 1.2.17

漏洞原因是因为调用SimpleSocketServer.main开启一个端口,进行接受数据,进行反序列化操作。

根据官方描述作用是把接受到的LoggingEvent作为本地的日志记录事件,再使用在服务器端配置的Log4J环境来记录日志。默认可能会开启在4560端口中。

0x02 log4j 反序列化分析

漏洞复现

配置漏洞代码

import org.apache.log4j.net.SimpleSocketServer;
public class log4j {
    public static void main(String[] args) {
        System.out.println("INFO: Log4j Listening on port 1234");
        String[] arguments = {"1234", (new log4j()).getClass().getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
        System.out.println("INFO: Log4j output successfuly.");
    }
}

配置log4j文件

log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

然后使用yso生成gadget的序列化数据,直接使用nc进行发送。但是nc发送传输有时候会有些问题,有时候传输数据缺失,会反序列化失败。

nc 127.0.0.1 1234 < log4j.curl.bin

漏洞分析

漏洞比较简单,还是现在漏洞位置先下断点。

跟进查看

在这里开启serverSocket进行监听,也就是socket的服务端,然后new了SocketNode进行传入。

继续跟进

而在这里接受了socket的数据。

下一步会来到run的这个方法里面,是因为前面调用了线程的start,而start的底层会调用run

直接就对ois也就是刚刚接受的socket数据,调用readobject进行反序列化。

0x03 工具编写

在复现的时候,使用nc发送数据时数据传输不完整,导致反序列化失败。就随手写了一个小工具,方便下次遇到的时候使用(可能也极少能遇到,比较鸡肋)

命令执行:

反弹shell:

POC:

由于比较少见,反序列化回显暂不构造。

0x04 结尾

log4j的反序列化漏洞比较简单,而类似于这种反序列化工具原理其实差不多,只是发包构造的数据包不一样,分析一下漏洞知道漏洞怎么形成的。原理其实比较简单,但也会遇到很多细节问题,如回显方式,或gui的优化问题。

小虾仁芜湖
关注
javalog4j反序列化
weixin_45653478的博客
07-20 1218
Log4j2默认支持解析ldap/rmi协议(只要打印的日志中包括ldap/rmi协议即可),并会通过名称从ldap服务端获取对应的Class文件,使用ClassLoader在本地加载Ldap服务端返回的Class类。
log4j反序列化
2403_82795493的博客
02-19 1127
Log4j在处理消息转换时,会按照字符检测每条日志,当日志中包含${}时,则会将表达式的内容替换成真实的内容(即lookup接口查找得到的内容),使用LDAP或RMI协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j漏洞
log4j反序列化-流程分析
最新发布
08-06 1274
JDK8u141依赖</</</</</</</</</
谈谈log4j反序列化
一个安全研究员
02-17 1328
文章发布在安全客:https://www.anquanke.com/post/id/195932
Apache Log4j Server 反序列化漏洞(CVE-2017-5645)
Kevin's Blog
01-18 4781
文章目录一、漏洞介绍1.1 漏洞介绍1.2 影响版本二、漏洞复现三、防御措施 一、漏洞介绍 1.1 漏洞介绍   Apache的一个开源的日志记录库,通过使用Log4j语言接口,可以在C、C++、.Net、PL/SQL程序中方便使用,其语法和用法与在Java程序中一样,使得多语言分布式系统得到一个统一一致的日志组件模块。通过使用三方扩展,可以将Log4j集成到J2EE、JINI甚至是SNMP应用中。但Log4j2.8.2之前的版本中存在反序列化漏洞。 1.2 影响版本 Log4j<2.8.2 二、
log4j反序列化漏洞详解及利用
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
Log4j 注入漏洞:深入理解JNDI注入与Java反序列化漏洞的利用
Java Punk
12-23 3464
我翻阅了许多专题文章,其中有2篇文章写的非常不错,完美解答了我对 “Log4j 注入漏洞” 的疑问
log4j反序列化漏洞原理
07-28
log4j反序列化漏洞是一种安全漏洞,它存在于Apache Log4j库中。该漏洞的原理是通过利用Log4j的JNDI(Java Naming and Directory Interface)功能,攻击者可以通过构造恶意的序列化数据来执行远程命令。 具体来说,...
log4j反序列化漏洞利用
06-07
Log4j是一个广泛使用的日志框架,但它在处理某些特定类型的输入时存在一个反序列化漏洞。这个漏洞被称为CVE-2021-44228,它允许攻击者通过精心构造的日志消息传递恶意代码,从而在服务器上执行任意代码,因为Log4j...
反序列化漏洞总结
dreamthe的博客
11-24 3439
1.了解序列化和反序列化 在学习反序列化漏洞之前,需要了解什么是反序列化和序列化,我看到了一个很好的比喻,觉得很适合帮助大家对于两者理解,相信大家都在淘宝买过东西,不知道有没有买过那种小型家具,我有买过鞋柜,商家发货的时候不会将一个完好的鞋柜寄给你,第一因为中途可能会损坏,第二呢就是增加包装成本。所以商家都会将鞋柜所有部件打包寄过来,顾客拿到快递在自己根据安装教程安装好鞋柜。那么这里面就有两个过程,一个是商家将所以部件打包发走,一个是你拿到安装还原。那么序列化就是商家打包过程,反序列化就是将商品还原过程。
shiro反序列化漏洞
g1345444的博客
02-26 1014
查看到这里发现会传入前面序列化的数组和key值,最后再去调用他的重载方法并且传入序列化数组、key、ivBytes值、generate。这里调用crypt方法进行获取到加密后的数据,而这个output是一个byte数组,大小是加密后数据的长度加上iv这个值的长度。进行加密,该类中也有对应的解密操作。该方法的作用为使用Base64对指定的序列化字节数组进行编码,并将Base64编码的字符串设置为cookie值。这里执行完成后就拿到了ivBytes的值了,这里再回到加密方法的地方查看具体加密的实现。
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
log4j反序列化漏洞
g1345444的博客
02-19 983
log4j2是apache下的java应用常见的开源日志库,是一个就Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。需要说明的是,这里忽略了具体格式化时的逻辑,因为块数据格式化时使用的逻辑可能不同,而且与漏洞无关,重要的只有处理jndi表达式那块。406行的循环是一个重要的逻辑,最终的触发点也是在这个循环中产生的,这里的。为空,所以不会进这里的if语句;
Log4j史诗级漏洞,从原理到实战,只用3个实例讲明白
程序新视界
12-13 1万+
背景 最近互联网技术圈最火的一件事莫过于Log4j2的漏洞了。同时也涌现出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。 经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经听说了,造成漏洞的”罪魁祸首“是JNDI,今天我们就聊它。 JNDI,好熟悉,但……熟悉的陌生人?JNDI到底是个什么鬼?好吧,如果你已经有一两年的编程经验,但还不了解JNDI,甚至没听说过。那么,要么赶紧换工作,要么赶紧读读这篇文章。 JNDI是个什么鬼? 说起JND
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 4480
Log4j2 RCE漏洞原理与复现
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小虾仁芜湖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值