log4j2漏洞源码分析

已于 2022-04-07 14:20:52 修改
阅读量3.6k 收藏 1
点赞数 2
文章标签: 安全 web安全
于 2021-12-14 16:18:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/121928932
版权
本文分析了Apache Log4j 2.x版本的安全漏洞,该漏洞允许远程代码执行(RCE)。漏洞源于MessagePatternConverter的format()方法,攻击者通过特定payload能触发JNDI查找,导致安全风险。紧急缓解措施包括更新到最新版本或修改JVM参数。文章还探讨了漏洞的工作原理、payload构造及可能的利用场景。
摘要由CSDN通过智能技术生成

前言

上篇分析了jndi+ldap的利用,这两天新爆出来的漏洞log4j2中,结合恶意payload可执行远程恶意代码
影响范围:Apache Log4j 2.x < 2.15.0-rc2,而且利用难度低,利用要求少
紧急缓解措施(最好升级最新版本):
(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

分析

整个漏洞中所调用的函数为:

logMessage ----> logMessageSafely ----> logMessageTrackRecursion ----> tryLogMessage ----> log
----> DefaultReliabilityStrategy.log ----> loggerConfig.log ----> processLogEvent ----> callAppenders
----> tryCallAppender ----> append ----> tryAppend ----> directEncodeEvent ----> encode ----> toText ---->
toSerializable ---->format----> PatternFormatter.format

漏洞的成因是:org.apache.logging.log4j.core.pattern.MessagePatternConverter

最低0.47元/天 解锁文章
郭晓雷
关注
源码Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4573
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
log4j2核弹级漏洞原理和分析
最新发布
2401_84411847的博客
04-19 935
起因这两天被log4j2漏洞给刷屏了,就像下面这样但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是。
log4j2漏洞分析
cjdgg的博客
04-11 6808
log4j2漏洞分析环境布置前言 环境布置 和前面的JNDI注入时用的代码差不多 package Log4j2; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class); public stat
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(二)—漏洞原理
跳小闹成长记
12-14 1万+
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞在Java高低版本中的不同攻击原理 3、Log4j2漏洞在Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
Log4J2漏洞(CVE-2021-44228)原理_log4j2漏洞原理,国内一线互联网公司面试题汇总
m0_57541068的博客
04-18 762
1.设置log4j2.formatMsgNoLookups=True。相当于直接禁止lookup查询出栈,也就不可能请求到访问到远程的恶意站点。2.对包含有"jndi:ldap://"、"jndi:rmi//"这样字符串的请求进行拦截,即拦截JNDI语句来防止JNDI注入。3.对系统进行合理配置,禁止不必要的业务访问外网,配置网络防火墙,禁止系统主动外连网络等等。4.升级log4j2组件到新的安全的版本。5.在高版本的jdk下也不会出现漏洞
速度!快速临时解决Log4j惊天漏洞
Galaxy_0的博客
02-15 1013
速度!快速临时解决Log4j惊天漏洞
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j、Log4j2和Fastjson的安全性问题在过去曾引起广泛关注,例如Log4j2的CVE-2021-44228(也被称为Log4Shell漏洞),这是一个远程代码执行漏洞,影响了许多使用Log4j2的系统。这个插件可能就是为了检测和利用这些...
Log4j漏洞复现及原理(附github源码
weixin_42478399的博客
02-15 5679
1.背景 之前在公司收到Log4j2爆出一个重大漏洞,公司有大部分应用使用到了Log4j的2.14.0以下的版本,全公司内部程序员收到消息之后,加班加点升级Log4j的版本到2.14.1(这个版本也不稳定),在此记录一下。 2.Log4j的重大漏洞 我们复现一下Log4j 2.14.0版本中出现的安全问题。首先,我们新建一个Maven项目,引入Log4j的jar包 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="htt
Log4j漏洞调研,源码浅解析
weixin_44029684的博客
12-17 1589
最近log4j的安全漏洞突然冒了出来,用了许久slf4j的我吓得赶紧翻遍了依赖,发现自己用的依赖并没有依赖上log4j-core,长吁一口气。吃了个午饭后转念一想我又没工作,也没啥线上项目在跑,何故担心这些问题?wc,那倒腾半天不就白整了,不行,反正这漏洞在java圈也挺大的,不如顺便研究一波,在未来应聘时也有聊的地方。 全文几乎都是站在巨人的肩膀上完成的,新人技术不佳,还望轻喷。
Log4j2安全漏洞
hezuchao的专栏
12-10 915
Log4j2版本2以上安全漏洞,受影响版本2.0 ≤ Apache Log4j <= 2.14.1
lo4j2 漏洞复现过程及解决方案
javagty6778的博客
01-11 356
操作系统:macos Catalinajdk 版本:11.0.9.1log4j2 版本:2.13.3(使用 springboot 2.3.2.RELEASE 间接依赖)引用公众号:“小林 coding” 的一张图:但如果你的日志中包含 “${” 开头,“” 结尾的内容就会被解析出来,单独处理。而如果“${},则有可能触发这个漏洞
Linux 修改path
++∞
10-21 739
1、直接用export命令:#export PATH=$PATH:自定义路径查看是否已经设好,可用命令export查看:[root@localhost bin]# exportPATH=$PATH:自定义路径2、修改profile文件: #vi /etc/profile 在里面加入:export PATH="$PATH:/opt/au1200_rm/build_to
Log4j2漏洞修复
热门推荐
derstsea的专栏
12-14 1万+
一、漏洞说明 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。 漏洞适用版本为 2.0 <= Apache log4j2 <= 2.14.1,只需检测Java应用是否引入 log4j-api , log4j-core 两个j
Apache Log4j 2 漏洞修复指南(CVE-2021-44228)
Wraith的博客
12-10 8970
Apache Log4j 2 漏洞修复指南 CVE-2021-44228 Log4j 团队已注意到一个安全漏洞 CVE-2021-44228,该漏洞已在 Log4j 2.15.0 中得到解决。 Log4j 的 JNDI 支持没有限制可以解析的名称。某些协议不安全或允许远程代码执行。Log4j 现在默认将协议限制为仅 java、ldap 和 ldaps,并将 ldap 协议限制为默认仅访问本地主机上提供的 Java 原始对象。 允许暴露此漏洞的一个向量是 Log4j 允许查找出现在日志消息中。从 Log4j
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 7098
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
Log4j2注入漏洞(CVE-2021-44228)万字深度剖析(四)—漏洞修复原理(2.15.0-RC1、2.15.0、2.16.0)
跳小闹成长记
12-14 3230
本文将和大家一起对Log4j2漏洞进行全面深入的剖析。我们将从如下几个方面进行讲解。 1、Log4j2漏洞的基本原理 2、Log4j2漏洞在Java高低版本中的不同攻击原理 3、Log4j2漏洞在Java高低版本中的攻击步骤 4、Log4j2漏洞在2.15.0-RC1中被绕过的原因 5、Log4j2最终修复方案(2.15.0)的原理
手把手教你复现Log4j2漏洞,千万别中招!
Java知音
12-13 2218
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/qq_40989258/article/details/1218623630x00 简介ApacheLog4j2是一个...
Log4j2官方文档翻译、学习笔记之三——Layouts的分类及常用类型示例
zhoucheng05_13的博客
11-18 5489
官方文档本节地址:http://logging.apache.org/log4j/2.x/manual/layouts.htmlLayouts是什么官方文档:“An Appender uses a Layout to format a LogEvent into a form that meets the needs of whatever will be consuming the log eve
log4j2 jndi注入漏洞复现
朴实,坚持,兴趣
12-12 1万+
log4j2 jndi注入漏洞复现
LOG4J 漏洞深度分析安全自查指南
"LOG4J RCE漏洞是一种严重的信息安全问题,影响了广泛使用Apache Log4j2库的软件。此漏洞允许远程代码执行(RCE),由于其普遍性,对全球许多业务线构成威胁。" Apache Log4j2是Java应用程序广泛采用的日志记录框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值