了解 log4j远程代码执行漏洞

最新推荐文章于 2024-04-18 02:00:31 发布
最新推荐文章于 2024-04-18 02:00:31 发布
阅读量951 收藏
点赞数
分类专栏: Java 文章标签: java 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxiang_123/article/details/121962770
版权

因为log4j辛苦修了一天代码,必须简单吃下这个瓜~~

输入${jndi:rmi://ip:port/obj}即可触发的漏洞,从修复方案看,升级log4j版本,或者临时方案如:

  • 改配置文件 log4j2.formatMsgNoLookups=True
  • 添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true
  • 修改环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

接下来开始一步步简单吃下瓜

临时解决方案均是关闭lookup,那么首先漏洞与lookup有什么关系 ?

log4j lookup官方文档 从官方文档看主要是提供了一些方式以添加课配置的属性到日志中。
lookup有多种实现类,本次漏洞是在JndiLookup。了解这个漏洞首先要看下JNDI

1 JNDI是什么 ?

Java 命名与目录接口(Java Naming and Directory Interface)。将Java对象以某个名称的形式绑定到一个容器环境(Context)中,以后调用Context的查找(lookup)方法又可以查找出该名称所绑定的Java对象。

换句话即,给资源起个名字,可以根据名字查找,这是命名服务;目录服务对命名服务进行扩展,增加了属性。

JNDI可访问的现有的目录及服务有: JDBC、LDAP、RMI、DN

最低0.47元/天 解锁文章
钉洲小懒猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 远程代码执行漏洞检测工具,包含windows版和linux版。图形化 Apache Log4j2检测工具
解决Apache Log4j 远程代码执行漏洞log4j2部分jar
12-10
解决Apache Log4j 远程代码执行漏洞log4j2部分jar,包含log4j-1.2-api-2.15.0.jar,log4j-api-2.15.0.jar,log4j-core-2.15.0.jar,log4j-to-slf4j-2.15.0.jar
Log4j 远程代码执行漏洞检测_fofa搜索log4j漏洞(1),2024年最新网络安全编程基础学习
最新发布
weixin_58085973的博客
04-18 189
代码Log4j 远程代码执行漏洞检测_fofa搜索log4j漏洞(1),2024年最新网络安全编程基础学习。
log4j2 lookup功能
Juwenzhe_HEBUT的博客
09-29 865
log4j2.xml中,可以获取到项目工程中的变量,使用${占位符}即可
Log4j 严重漏洞修最新修复方案参考
热门推荐
Javaesandyou的博客
12-21 1万+
CVE-2021-44228,原理上是 log4j-core 代码中的 JNDI 注入漏洞。这个漏洞可以直接导致服务器被入侵,而且由于“日志”场景的特性,攻击数据可以多层传导,甚至可以威胁到纯内网的服务器log4j 作为 Java 开发的基础公共日志类,使用范围非常广,漏洞必定影响深远,想想当年commons-collections反序列化漏洞的影响范围。 Github漏洞公告: https://github.com/advisories/GHSA-jfh8-c2jp-5v3q 影响 < 2.1
Log4j2异步日志Disruptor及lookups远程执行漏洞详解
laim3的博客
12-14 2768
Log4j2异步日志核心流程和涉及的组件
Log4j远程代码执行漏洞
派大星的博客
09-21 2519
Log4j远程执行漏洞原理分析
Log4j远程代码执行漏洞
weilaona的博客
12-17 1028
Log4j远程代码执行漏洞 12 月 10 日凌晨,Apache 开源项目 Log4j远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。受本次漏洞影响的版本范围为 Apache Log4j 2.x < 2.15.0-rc2,攻击者可以利用此漏洞在目标服务器执行任意代码,通过 JNDI执行 LDAP 协议来注入一些非法的可执行代码。 攻击检测 (1)可以通过检查日志中是否存在 “jndi:ldap://”、“jndi:rmi” 等字符来发现可能
Apache Log4j 远程代码执行漏洞
吴某人的博客
12-30 561
一、漏洞描述 2021年12月9日夜里,互联网公布 Apache Log4j-2存在任意代码执行漏洞,该漏洞相关利用工具(PoC)在互联网公开。攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置。综合评估利用简单,利用要求少,影响范围较大。 二、影响范围 Apache Log4j2 是一款优秀的、基于 Java 语言开源的日志框架,使用极其广泛,现被大量的开源项目、开源组件引入使用,例如:Spring-Boot-strater-log4j2、Apache Struts2、Apache So
Apache Log4j2(远程代码执行漏洞
F2444790591的博客
07-08 7803
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
网络安全】Log4j 远程代码执行漏洞解析
程序员若风的博客
12-25 1006
log4j支持JNDI协议。Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Java 6 将 log4j 升级到 2.3.2 版本,Java 7 将 log4j 升级到 2.12.4 版本,Java 8 或更高版本将 log4j 升级到 2.17.1 版本
Log4J2远程代码执行漏洞修复20211210.rar
12-13
log4j-api-2.15.0.jar log4j-core-2.15.0.jar log4j-jcl-2.15.0.jar
记一次log4j漏洞修复与吐槽
weixin_44718708的博客
12-21 437
关于log4j漏洞修复与吐槽,然后为什么不使用logback呢?
CDH/HDP/CDP等大数据平台中如何快速应对LOG4JJNDI系列漏洞
明哥的IT随笔
01-01 1076
大家好,我是明哥!近期 LOG4J 围绕JNDI的安全漏洞频繁暴雷,着实让小伙伴们忙活了一阵。本文我们就一起来看下,CDH/HDP/CDP 等大数据平台中如何快速应对 LOG4J 的 JN...
Apache Log4j2 lookup JNDI 注入漏洞复现及利用
Tauil的博客
07-21 1134
这时候有过有过js经验的朋友都会知道嗷,编写网站的时候一般都会使用到JNDI这个接口进行目录服务查询,而JNDI中有LDAP的类,他可以用来执行我们的恶意语句,为了方便恶意语句的回显,我们到。查看网络,重新载入一下,看看每个数据包,诶这个时候就会发现有一个数据包存在参数上传,并且URL是在另一个地址。,为什么不用那个,因为啊那个是上传系统参数的数据包,有很大的区别,感兴趣可以自己去搜一下,因为本人java也不是很精通,所以就不多嘴了。并访问,这时我们的攻击机终端就会收到新的消息,这就代表命令。.......
log4j2漏洞复现以及解决方案
学习不止境的博客
08-10 4333
log4j2漏洞解决 rmi远程调用 jndi注入 lookup
log4j漏洞原理和靶场复现
Aiwin的博客
08-19 7550
log4j漏洞原理和靶场复现
log4j远程代码执行漏洞
06-01
log4j远程代码执行漏洞是一种安全漏洞,可以允许攻击者远程执行恶意代码。该漏洞影响Apache软件基金会的Java日志库Log4j 2.x版本,并由于其被广泛使用而引起了广泛的关注。 攻击者可以通过精心构造的日志消息来触发该漏洞,从而远程执行任意代码。该漏洞已被评为最高危险性的漏洞之一,并在全球范围内引起了广泛的警惕。 如果您正在使用Log4j 2.x版本,请及时更新到最新版本,并考虑禁用JNDI查找以帮助保护您的系统免受此漏洞的影响。同时,您也可以使用其他Java日志库来替代Log4j,以降低系统受攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值