log4j漏洞分析及总结

最新推荐文章于 2025-10-22 18:45:00 发布
原创 最新推荐文章于 2025-10-22 18:45:00 发布 · 5.1w 阅读 · 160 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #java #web安全 #log4j2

本文详细剖析了2021年的Apache Log4j2远程代码执行漏洞(CVE-2021-44228),解释了JNDI注入和Java反序列化漏洞的概念,展示了漏洞利用的payload,并通过实验验证了其危害,包括远程代码执行和反弹shell。最后,提出了升级到2.17.0-rc2及以上版本作为修复措施。

2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。

漏洞描述及影响

log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。Apache Log4j2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。

同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等

用户认证:不需要用户认证

触发方式:远程

配置方式:默认

利用条件:需要外网访问权限

影响版本:2.0 ≤ Apache Log4j2 < 2.15.0-rc2

利用难度:极低,无需授权即可远程代码执行

威胁等级:严重,能造成远程代码执行

综合评估漏洞利用难度极低,利用要求较少,影响范围很大,危害极其严重,且已经被黑客公开利用持续全网扫描,根据部里要求,需要紧急修复。

漏洞分析

该漏洞的主要原因是log4j在日志输出中,未对字符合法性进行严格的限制,执行了JNDI协议加载的远程恶意脚本,从而造成RCE。这里面有一个关键点就是,什么是JNDI,为什么JNDI可以造成RCE
【Java JNDI使用详解】 https://blog.youkuaiyun.com/qinwuxian19891211/article/details/108969927,这篇文章中很好的介绍了什么是JNDI,这里摘抄文章中的重点

最低0.47元/天 解锁文章
log4j漏洞学习
2301_79724395的博客
06-14 1424
其实学完之后回过头造成漏洞的原理就是Log4j引入了lookup接口原本的目的是来支持在日志输出时获取任意位置的Java对象。通过使用lookup接口,Log4j可以通过适当的配置和调用,动态地从程序运行环境中获取所需的对象,然后将其作为日志消息的一部分输出到日志目标中。
日志框架 --- Log4j
wwzzzzzzzzzzzzz的博客
06-04 7142
log4j是一个流行的Java日志框架,是由 Apache 的一个开源项目。它允许开发人员通过将日志语句插入应用程序代码中来记录应用程序运行时的事件。它能够控制通过哪些目标输出的消息以及每个目标的格式。log4j主要是由 Logger,Appender,Layout 组成,Logger,日志记录器,控制日志的输出级别以及是否输出日志。Appender,控制日志被写入的位置,例如控制台、文件等。Layout,用于定义日志输出的格式。
Log4j史诗级漏洞,从原理到实战,只用3个实例讲明白
程序新视界
12-13 1万+
背景 最近互联网技术圈最火的一件事莫过于Log4j2漏洞了。同时也涌现出了各类分析文章,关于漏洞的版本、漏洞的原因、漏洞的修复、程序员因此加班等等。 经常看我文章的朋友都知道,面对这样热门有意思的技术点,怎能错过深入分析一波呢?大概你也已经听说了,造成漏洞的”罪魁祸首“是JNDI,今天我们就聊它。 JNDI,好熟悉,但……熟悉的陌生人?JNDI到底是个什么鬼?好吧,如果你已经有一两年的编程经验,但还不了解JNDI,甚至没听说过。那么,要么赶紧换工作,要么赶紧读读这篇文章。 JNDI是个什么鬼? 说起JND
重新理解 Log4Shell 漏洞(CVE-2021-44228):零基础到精通,收藏!
最新发布
Button12138的博客
10-22 966
Log4Shell 漏洞是一个影响广泛、危害严重的漏洞。及时升级 Log4j 版本,或者采取临时缓解措施,并加强输入验证,是防御该漏洞的关键。文章来自网上,侵权请联系博主。
log4j反序列化漏洞详解及利用
Mr.Wang的博客
12-20 1万+
Log4j漏洞详解:带你体验一把hacker之路!
【渗透测试】log4j漏洞复现和漏洞修复方案
Yb528970805的博客
09-16 2214
2021年12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Log4j 的广泛使用,该漏洞一旦被攻击者利用会造成严重危害。Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
log4j漏洞复现
m0_72199724的博客
05-10 937
Log4j是一个广泛使用的Java日志框架,具有高度灵活性、高效性和可扩展性,适用于调试和监控应用程序。然而,Log4j也暴露了多个安全漏洞,如CVE-2017-5645和CVE-2021-44228。CVE-2017-5645是一个反序列化漏洞,攻击者通过发送恶意payload触发代码执行,影响Log4j 2.8.2之前的2.x版本。CVE-2021-44228是一个远程代码执行(RCE)漏洞,攻击者利用JNDI协议加载远程恶意脚本,影响Log4j 2.0到2.15.0-rc2版本。漏洞复现表明,攻击者可
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,包括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j22021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
Log4j漏洞分析
热门推荐
wbo
12-14 2万+
Log4j漏洞源码分析 这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。 具体涉及到的入口类是log4j-core-xxx.jar中的org.apache.logging.log4j.core.lookup.StrSubstitutor这个类。 原因是Log4j提供了Lookups的能力(关于Lookups可以点这里去看官方文档的介绍),简单来说就是变量替换的能力。 在Log4j将要输出的日
log4j2漏洞检测工具
05-07
2. **深度分析**: 工具会深入分析代码,找出所有使用Log4j2的地方,特别是那些可能接收用户输入或网络数据的地方,这些地方是漏洞可能被触发的关键点。 3. **风险评估**: 工具能够评估每个检测到的实例的风险等级,...
Struts2框架下Log4j2漏洞检测方法分析与总结
Hacker_j1的博客
07-07 1368
叒有一段时间没写文章了,正好周末有时间就来写写,本文来讲讲有关SQL注入相关的知识点会尽可能详细的写出来,比较适合刚入门安全的小白进行学习,希望能在面试或实战中助你一臂之力。如有大佬发现文中内容有错误的地方恳请斧正!也欢迎各位师傅共同交流学习技术!
平台日志架构说明log4j漏洞问题解析
java_dazhuzhu的博客
04-27 369
漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。漏洞检测方案1、通过流量监测设备监控是否有相关 DNSLog 域名的请求2、通过监测相关日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
log4j漏洞分析
weixin_47623655的博客
04-11 860
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文中,我们将详细讨论log4j漏洞的背景、原理和应对措施。
log4j漏洞详解
weixin_61638307的博客
03-21 4716
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
log4j漏洞
weixin_64359465的博客
04-01 1103
即Log for JavaApache的开源日志记录组件,使用非常广泛(log4j2等于log4j,在版本2发现的这个漏洞,因此叫log4j2)1.复现流程①启动HTTP②启动LDAP③执行Log4j2.分部分讲解:①什么是LDAP?轻量级目录访问协议,即目录服务,用来存储目录数据的(目录数据库)应用场景:用户登录多个不同系统需要输入多组账号密码,非常麻烦通过LDAP用户可以实现登录入口的统一②JNDIJava命名和目录接口,即命名服务接口命名服务?
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值