Log4j2的JNDI注入漏洞原理分析与思考

最新推荐文章于 2024-04-06 13:43:38 发布
最新推荐文章于 2024-04-06 13:43:38 发布
阅读量2.7k 收藏 18
点赞数
文章标签: java 开发语言 程序人生 架构 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuuyy_/article/details/122111525
版权
本文深入分析了Log4j2的JNDI注入漏洞(CVE-2021-44228)的原理,介绍了Log4j2、JNDI、JNDI注入的概念,并通过漏洞复现、补丁分析和思考,揭示了漏洞的形成原因和潜在风险。文章指出,Log4j2团队在2.15.0-rc1和rc2版本中分别采取了不同的补丁策略,但rc1仍存在可被绕过的风险。最后,作者强调了安全编程的重要性,并讨论了应对这种广泛依赖的基础类库漏洞的挑战。
摘要由CSDN通过智能技术生成

前言

最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。

以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。

一、 前置知识

1.1 Log4j2

Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4j,Log4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组件。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。

因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法:

  1. Log4j2分为2个jar包,一个是接口 log4j-api-${版本号}.jar ,一个是具体实现 log4j-core-${版本号}.jar 。Log4j只有一个jar包 log4j-${版本号}.jar 。
  2. Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
  3. Log4j2的package名称前缀为 org.apache.logging.log4j 。Log4j的package名称前缀为 org.apache.log4j 。

1.2 Log4j2 Lookup

Log4j2的Lookup主要功能是通过引用一些变量,往日志中添加动态的值。这些变量可以是外部环境变量,也可以是MDC中的变量,还可以是日志上下文数据等。

下面是一个简单的Java Lookup例子和输出:

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.apache.logging.log4j.ThreadContext;

public class Log4j2Lookup {
    public static final Logger LOGGER = LogManager.getLogger(Log4j2RCEPoc.class);

    public static void main(String[] args) {
        ThreadContext.put("userId", "test");
        LOGGER.error("userId: ${ctx:userId}");
    }
}
10:21:19.618 [main] ERROR Log4j2RCEPoc - userId: test

从上面的例子可以看到,通过在日志字符串中加入"${ctx:userId}",Log4j2在输出日志时,会自动在Log4j2的 ThreadContext 中查找并引用 userId 变量。格式类似"${type:var}",即可以实现对变量var的引用。type可以是如下值:

ThreadContext
${env:USER}
${java:version}

其中和本次漏洞相关的便是jndi,例如: ${
jndi:rmi//127.0.0.1:1099/a} ,表示通过JNDI Lookup功能,获取 rmi//127.0.0.1:1099/a 上的变量内容。

1.3 JNDI

JNDI(Java Naming and Directory Interface,Java命名和目录接口),是Java提供的一个目录服务应用程序接口(API),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象 。

例如使用数据库,需要在各个应用中配置各种数据库相关的参数后使用。通过JNDI,可以将数据库相关的配置在一个支持JNDI服务的容器(通常Tomat等Web容器均支持)中统一完成,并暴露一个简洁的名称,该名称背后绑定着一个 DataSource 对象。各个应用只需要通过该名称和JNDI接口,获取该名称背后的 DataSource 对象。当然,现在SpringBoot单体发布模式,极少会使用这种方式了。

再举个更简单的例子,这有点类似DNS提供域名到IP地址的解析服务。域名简洁易懂,便于普通用户使用,背后真正对应的是一个复杂难记的IP,甚至还可能是多个IP。DNS即JNDI服务,域名即可用于绑定和查找的名称,IP即该名称绑定的真正对象。用现代可以类比的技术来说,JNDI就是一个对象注册中心。

JNDI由三部分组成:JNDI API、Naming Manager、JNDI SPI。JNDI API是应用程序调用的接口,JNDI SPI是具体实现,应用程序需要指定具体实现的SPI。下图是官方对JNDI介绍的架构图:

Log4j2的JNDI注入漏洞、原理分析与思考

下面是一个简单的例子:

public interface Hello extends java.rmi.Remote {
    public String sayHello(String from) throws java.rmi.RemoteException;
}
import java.rmi.server.UnicastRemoteObject;

public class HelloImpl extends UnicastRemoteObject implements Hello {
    public HelloImpl() throws java.rmi.RemoteException {
        super();
    }

    @Override
    public String sayHello(String from) throws java.rmi.RemoteException {
最低0.47元/天 解锁文章
Java小果
关注
Log4J2漏洞(CVE-2021-44228)原理
m0_62466350的博客
05-07 3129
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发开发 者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏 洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶 意请求,触发远程代码执行漏洞,从而获得目标服务器权限。漏洞适应版本:2.0
log4j2远程代码执行漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
最新发布
heike_Ch的博客
08-14 1209
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞原理及利用方式。如何排查是否受到了攻击?检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为,前面复现的过程在payload的构造中都出现了这样的字符串,这是攻击的典型标志。如何对log4j2的攻击进行防御?1.设置log4j2.formatMsgNoLookups=True。
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(二)—漏洞原理
跳小闹成长记
12-14 1万+
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞Java高低版本中的不同攻击原理 3、Log4j2漏洞Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Log4j2JNDI注入漏洞(CVE-2021-44228)
黑白的博客
10-13 5878
好好学习,天天向上。
JNDI注入漏洞
qq_61553520的博客
05-23 1356
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
log4j2_rce 项目
02-23
然而,2021年,研究人员发现了一个严重的漏洞,被称为“Log4Shell”,它源于Log4j2中的JNDIJava Naming and Directory Interface)注入。这个漏洞允许攻击者通过操纵日志记录消息来执行任意远程代码,从而对受影响...
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 1724
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
Log4j漏洞复现及原理(附github源码)
weixin_42478399的博客
02-15 5665
1.背景 之前在公司收到Log4j2爆出一个重大漏洞,公司有大部分应用使用到了Log4j的2.14.0以下的版本,全公司内部程序员收到消息之后,加班加点升级Log4j的版本到2.14.1(这个版本也不稳定),在此记录一下。 2.Log4j的重大漏洞 我们复现一下Log4j 2.14.0版本中出现的安全问题。首先,我们新建一个Maven项目,引入Log4j的jar包 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="htt
Log4j2注入漏洞万字剖析-汇总收藏版(攻击步骤、漏洞原理、2.15.0-RC1绕过原理以及2.15.0、2.16.0修复原理)
热门推荐
跳小闹成长记
12-16 1万+
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下基本方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞Java高低版本中的不同攻击原理 3、Log4j2漏洞Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 2028
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
log4j jndi注入漏洞
Ye的博客
04-06 1153
JNDI、LDAP、log for java: log4j Java程序日志监控组件
log4j2漏洞原理简述
xianyu9w的博客
04-02 6723
影响版本 Apache Log4j 2.x <= 2.14.1 jdk不知道,有知道的师傅麻烦告诉下 漏洞原理 由于Apache Log4j存在递归解析功能(lookup),未取得身份认证的用户,可以从远程发送数据请求输入数据日志,轻松触发漏洞,最终在目标上执行任意代码。 lookup相当于是一个接口,具体去哪里查找,怎么查找,就需要编写具体的模块去实现了,类似于面向对象编程中多态那意思。单单lookup的话打印一些服务器信息什么的危害倒是不大,但是加上JNDI就有意思了。 JNDI(Java Na
JNDI注入原理及利用IDEA漏洞复现
人若无名,便可专心练剑
03-18 2044
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细的漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 980
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
Log4j2JNDI注入(CVE-2021-44228)
GalaxySpaceX的博客
06-25 372
Log4j2JNDI注入(CVE-2021-44228)
log4j2漏洞原理及修复方案
weixin_41701609的博客
12-13 8323
log4j2漏洞原理log4j2修复方案
log4j2漏洞原理详解、漏洞复现及漏洞利用
Cwillchris的博客
03-13 1411
虽然/dev/tcp/${HOST}/${PORT}这个字符虽然看起来像一个文件系统中的文件,并且位于/dev这个设备文件夹下,但是这个文件并不存在,并且不是一个设备文件。这只是 bash 实现的用来实现网络请求的一个接口,其实就像我们自己编写的一个命令行程序,按照指定的格式输入 host port 参数,就能发起一个 socket 连接。这两组重定向,将输入,输出,报错信息都输入到/dev/tcp/192.168.1.3/6666 这里了,就相当于把整个 shell 会话,都重定向到 tcp 连接中了。
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(四)—漏洞修复原理(2.15.0-RC1、2.15.0、2.16.0)
跳小闹成长记
12-14 3210
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞Java高低版本中的不同攻击原理 3、Log4j2漏洞Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值