Apache Log4j 2 远程代码执行漏洞详解

最新推荐文章于 2024-10-09 20:20:19 发布
最新推荐文章于 2024-10-09 20:20:19 发布
阅读量1w 收藏 11
点赞数 3
分类专栏: 笔记 文章标签: apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48985078/article/details/121871055
版权
本文深入剖析Apache Log4j2的远程代码执行漏洞,涉及JNDI注入、RMI攻击原理,并提供内部自查、修复措施及版本升级建议,帮助用户抵御潜在风险。
摘要由CSDN通过智能技术生成

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。

资料来源:

阿里云漏洞预警

360安全漏洞报告

腾讯安全

1.预备知识

1.1 Apache

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。

1.2 log4j

Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

1.3 JNDI注入

1.3.1 JNDI

JNDI(全称Java Naming and Directory Interface)是用于目录服务的Java API,它允许Java客户端通过名称发现和查找数据和资源(以Java对象的形式)。与与主机系统接口的所有Java api一样,JNDI独立于底层实现。此外,它指定了一个服务提供者接口(SPI),该接口允许将目录服务实现插入到框架中。通过JNDI查询的信息可能由服务器、文件或数据库提供,选择取决于所使用的实现。

1.3.2 JNDI注入

JNDI注入简单来说就是在JNDI接口在初始化时,如:InitialContext.lookup(URI),如果URI可控,那么客户端就可能会被攻击

1.3.3 RMI

通过RMI进行JNDI注入,攻击者构造的恶意RMI服务器向客户端返回一个Reference对象,Reference对象中指定从远程加载构造的恶意Factory类,客户端在进行lookup的时候,会从远程动态加载攻击者构造的恶意Factory类并实例化,攻击者可以在构造方法或者是静态代码等地方加入恶意代码。

javax.naming.Reference构造方法为:Reference(String className, String factory, String factoryLocation)

  1. className - 远程加载时所使用的类名
  2. classFactory - 加载的class中需要实例化类的名称
  3. classFactoryLocation - 提供classes数据的地址可以是file/ftp/http等协议

因为Reference没有实现Remote接口也没有继承UnicastRemoteObject类,故不能作为远程对象bind到注册中心,所以需要使用ReferenceWrapperReference的实例进行一个封装。

服务端代码如下

package demo;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;


public class RMIServer {
   

    public static void main(String
最低0.47元/天 解锁文章
_Chrome_
关注
专栏目录
Apache Log4j2漏洞
Mr.xing的博客
11-13 884
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4jLog4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
Apache Log4j2 漏洞详谈
infosec的博客
12-16 5849
源于Apache Log4j2这个漏洞的描述很多,也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的,这个大黑锅下面都有哪些坑。 最近由阿里安全团队爆出来的Apache Log4j2漏洞,可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去,就是下面这个图片。 由于Apache Log4j2组件应用的普及性,导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的,其实我们还有很多选择。众所周知Log4j2Apache 家的
关于Apache Log4j2远程代码执行漏洞
flx的博客
12-10 677
关于Apache Log4j2远程代码执行漏洞
记一次:Apache Log4j2 漏洞复现(详细过程)
最新发布
Lisoning的博客
10-09 1400
Apache Log4j2漏洞复现及相关知识原理
Apache log4j2漏洞
m0_63645854的博客
06-13 624
本文介绍了log4j2远程代码执行漏洞
Log4j2远程代码执行漏洞
2301_82000839的博客
07-08 1139
log4j2漏洞java应用常见开源日志库,是一个就Java的日志记录工具Apache Log4j2中存在JNDI注入漏洞,主要原理是利用log4j2的日志输出JNDI远程对象时,调用远程对象没做检查导致,程序将用户输入的数据进行日志记录时即可触发该漏洞并可在目标服务器上执行任意代码。该漏洞利用过程需要找到一个能触发远程加载并应用配置的输入点,迫使服务器远程加载和修改配置的前提下使目标系统通过JNDI远程获取数据库源,触发攻击者的恶意代码
Log4J2远程代码执行漏洞修复20211210.rar
12-13
Log4J2远程代码执行漏洞修复详解》 在IT安全领域,Log4J2远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的...
log4j远程执行漏洞,测试源码
12-22
**Log4j远程执行漏洞详解** Log4jApache的一个开源日志框架,广泛用于Java应用程序,用于记录应用程序运行时的日志信息。2021年12月,研究人员发现了一个允许任意代码执行的严重漏洞,它存在于Log4j 2的JNDI...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
Apache Log4j2漏洞详解及修复指南》 在网络安全领域,Apache Log4j2漏洞是一个备受关注的话题,尤其在2021年底,该漏洞的出现引发了全球范围内的广泛关注。这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java...
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
Apache Log4j2 漏洞问题
Mr_JK的专栏
12-10 7050
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。 影响范围:Apache Log4j 2.x <= 2.14.1 综合评估利用难度低,利用要求少,影响范围很大,且已经被黑客公开利用全网扫描,根据部里要求,需要紧急修复。 修复方案: 1、紧急缓解措施: (1) 修改jvm参数 -
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 8068
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 2632
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
Apache Log4j2远程代码执行漏洞
qq_26622469的博客
12-16 2166
漏洞分析 组件介绍 Apache Log4j2 是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。 漏洞描述 2021年12月9日,深信服安全团队监测到一则Apache Log4j2 组件存在远程代码执行漏洞的信息,并成功复现该漏洞漏洞编号:CNVD-2021-95914。漏洞威胁等级:严重。 该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞(1)
2301_76223496的博客
04-14 856
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
突发!Apache Log4j2 报核弹级漏洞
Java之间
12-15 237
1、都在建议你不要直接使用 @Async 注解,为什么? 2、面试官:抛开Spring来说,如何自己实现Spring AOP? 3、蓝绿发布、滚动发布、灰度发布,有什么区别?这下明白了 4...
Apache Log4j2代码执行漏洞(CVE-2021-45105/CVE-2021-44228)且 pom.xml文件中是slf4j-log4j12依赖的漏洞修复
weixin_45222548的博客
07-24 944
CVE-2021-45105/CVE-2021-44228漏洞且 pom.xml文件中是slf4j-log4j12依赖的系统修复。
apache log4j2远程代码执行漏洞检测工具
08-31
Apache Log4j2远程代码执行漏洞是一种影响Apache Log4j2日志记录库的严重安全漏洞。该漏洞允许攻击者通过发送特制的网络请求,远程执行任意代码,导致服务器完全被控制。 为了帮助检测这个漏洞,一些安全公司和社区...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值