log4j漏洞学习笔记

最新推荐文章于 2024-04-27 12:37:32 发布
最新推荐文章于 2024-04-27 12:37:32 发布
阅读量459 收藏
点赞数
文章标签: 服务器 java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_26677513/article/details/121983815
版权

JNDI注入攻击:java name directory interface:提供通用的接口去调用不同的服务。

SPI机制:server provider interface。

黑客搭建NS服务器,然后发送指令给服务器。

服务器会请求黑客的机器,黑客的机器指令会执行别的请求。

存在风险的core包,进行递归的解析和lookup查找,本身log4j也解耦了,还有api包。

lookup有很多实现类,有一个jndi的方式。

ladp:Lightweight Directory Access Protocol 轻量级目录访问协议

升级的话,主要做了三点:

  • 默认不再支持二级跳转,也就是命名引用的方式获取对象;
  • 只有站在log4j2.allowedclass中的指定的对象才能获取;
  • 只有远程地址是本地地址或者在log4j2.allowedHost中的地址才能获取。

备注:

  • idea可以看maven依赖路径图,
  • es 中也有,排掉,升级了。
咫尺是
关注
深入分析Log4j 漏洞
嘉禾笔记
12-16 1万+
几乎每个系统都会使用日志框架,用于记录日志信息,这些信息可以提供程序运行的上下文,但是日志过多也会影响系统的性能,所以好的日志框架应该是可靠,快速和可扩展的。 Apache Log4j2 是一个基于 Java 的日志工具,是Log4j的升级版本,引入了很多丰富的特性,括高性能,低垃圾收集,插件系统等。目前很多互联网公司以及耳熟能详的公司的系统或者开源框架都在使用Log4j2。 2021.12.7,Log4j首次被发现了一个非常严重的漏洞,在当天Log4j就发布了log4j-2.15.0-rc1,但是12.
Apache Log4j漏洞学习笔记
Severnlove7的博客
01-17 2916
自从apache log4j这个洞公布后,热度一直很高,所以自己也趁热学习了一下,并整理了一份笔记记录一下,仅仅是个人的一点理解,有不对的地方还请师傅们多多担待指教。
Web网络安全-----Log4j高危漏洞原理及修复
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
漏洞复现】Apache Log4j 漏洞利用分析
网络安全知识分享
12-31 7852
❝ Apache Log4j 项目被爆存在远程代码执行漏洞,且利用简单,影响危害巨大,光是引入了 log4j2 依赖的组件都是数不清,更别提项目本身可能存在的风险了,复现漏洞来学习一下,希望可以帮助到大家 ❞ 0x01影响范围 引用了版本处于2.x < 2.15.0-rc2的 Apache log4j-core的应用项目或组件 0x02复现环境 log4j-core 2.14.1 marshalsec JDK-1.8.0_221 0x03 漏洞分析 测试代码如下: #log4j,java impo
Log4j漏洞分析
wbo
12-14 2万+
Log4j漏洞源码分析 这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。 具体涉及到的入口类是log4j-core-xxx.jar中的org.apache.logging.log4j.core.lookup.StrSubstitutor这个类。 原因是Log4j提供了Lookups的能力(关于Lookups可以点这里去看官方文档的介绍),简单来说就是变量替换的能力。 在Log4j将要输出的日
log4j漏洞分析
遇事不决冲冲冲
03-22 2458
Log4j漏洞复现步骤,Log4j断点分析,Log4j漏洞中2.15.0-RC1断定分析,以及绕过方法,Log4j2.15.0-RC2修复原理
全网连夜修复的Log4j漏洞,如何做
2401_84047990的博客
04-19 1133
同时也并不是完全没有缺点,主要的问题就是可能带来一定的性能损耗。还有就是开发难度比较高,需要对 JVM 字节码、ASM 工具、漏洞触发原理以及各类Java 应用容器都有所了解。RASP技术目前已经非常成熟,在PHP、Java、.NET等多种语言中都有实现方案。
Log4j 漏洞测试
2401_84092694的博客
04-20 424
今天的文章可谓是积蓄了我这几年来的应聘和面试经历总结出来的经验,干货满满呀!如果你能够一直坚持看到这儿,那么首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!可以非常负责地说,如果你能够坚持把我上面列举的内容都一个不拉地看完并且全部消化为自己的知识的话,那么你就至少已经达到了中级开发工程师以上的水平,进入大厂技术这块是基本没有什么问题的了。首先我还是十分佩服你的毅力的。所以看完之后,还是多多行动起来吧!
平台日志架构说明log4j漏洞问题解析
最新发布
java_dazhuzhu的博客
04-27 307
漏洞原理官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中含关键词 ${,攻击者就能将关键字所含的内容当作变量来替换成任何攻击命令,并且执行。漏洞检测方案1、通过流量监测设备监控是否有相关 DNSLog 域名的请求2、通过监测相关日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。
log4j2核弹级漏洞原理和分析
2401_84411847的博客
04-19 1037
起因这两天被log4j2的漏洞给刷屏了,就像下面这样但是很少有人提及这个漏洞到底是怎么回事儿。log4j2最为非常顶尖的日志框架,怎么会出现这种级别的漏洞呢?了解过漏洞的原理之后我发现,这应该算是一种低级漏洞了。原理就是。
log4j-api-2.11.2.jar
10-11
apache-log4j-2.11.2-bin的jar下载,版本log4j-2.11.2
log4j漏洞详解
weixin_61638307的博客
03-21 4583
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,举个例子:它就相当于的你的一个秘书,用了一些手段,你可以去指使他去干一些事情,这个手段就是lookup(),相当于你给秘书一个目标。先给这些名词简单说一下Ldap:你可以将它理解为一个目标数据库。
log4j漏洞分析及总结
热门推荐
csd_ct的专栏
02-14 4万+
2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。 漏洞描述及影响 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。
log4j2 远程代码执行漏洞复现(CVE-2021-44228)
Welcome To Myon'Blog !
03-08 1万+
log4j 是 Apache 的一个开源日志库,是一个基于 Java 的日志记录框架,Log4j2 是 log4j 的后继者,其中引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI 组建等,被应用于业务系统开发,用于记录程序输入输出日志信息,log4j2 中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞,成功利用该漏洞可在目标服务器上执行任意代码。
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)(漏洞复现详细过程)
m0_52701599的博客
04-06 3631
Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)(漏洞复现详细过程)
log4j反序列化漏洞复现
qq_52263650的博客
05-31 1451
Apache Log4j 是一个用于 Java 的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2 之前的 2.x 版本中存在安全漏洞。攻击者可利用该漏洞执行任意代码。
Java的日志记录工具log4j发现史诗级漏洞
悟空大师的博客
12-10 1830
漏洞预警:警惕!Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持检测拦截 本质上是 log4j 里的 lookup 方法存在 jndi 注入(看图): 修复措施: 在 log4j2.component.properties 配置文件中设置: log4j2.formatMsgNoLookups=true 可以暂时缓解避免受漏洞的影响。 之所以是史诗级,是因为不仅 log4j 使用范围广,而且日志数据你不知道流到哪里的 log4j 就会触发 漏洞存在于 log4j2 ,目前发的很多...
操作log4jAPI
iteye_7853的博客
11-12 238
import java.io.ByteArrayOutputStream;import java.io.PrintWriter;import org.apache.log4j.*; public class CustomerLogUtil{     private static CustomerLogUtillogUtil;    private Logger log;     public...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值