.NETプログラムは、Javaプロジェクトlog4j2のリモートコード実行脆弱性をテストします

クズども · 掲載地 2021/12/11 21:06:29

過去2日間、友人の間で「Apache Log4j2リモートコード実行脆弱性」によって盗み取られました。主な理由はコンポーネント内のJava JNDIインジェクション脆弱性です。プログラムがユーザーが入力したデータをログに書き込みた際、攻撃者はApache Log4j2のリモートコード実行脆弱性をトリガーする特別なリクエストを構築し、この脆弱性を利用してターゲットサーバー上で任意のコードを実行します。

影響範囲

Apache Log4j 2.x <= 2.14.1

JNDI(Java Naming and Directory Interface)は、Java が提供する Java 命名およびディレクトリインターフェースです。 JNDIのAPIを呼び出すことで、アプリケーションはリソースやその他のプログラムオブジェクトを見つけることができます。 JNDIはJava EEの重要な一部であり、DataSource(JDBCデータソース)だけでなく、JDBC、LDAP、RMI、DNS、NIS、CORBA(百科事典より抜粋)などの既存のディレクトリやサービスにもアクセスできることに注意が必要です。

インターネット上には脆弱性の修正方法や脆弱性のスクリーンショットに関する記事は多くありますが、脆弱性のテスト方法についてはほとんど情報がありません。Javaは主にLog4j2を使ってコードをテストします次のように：

ログインが見えます。

簡単に言えば、Log4j2はRMIまたはLDAPプロトコルを通じて以下のアドレスにアクセスし、プロトコルの内容に応じて悪意を持って作成されたコードを実行する可能性があります。

この脆弱性の存在は、Windows計算機を開くことでほぼ常にインターネット上で証明されます。コードは以下の通りです。

ログインが見えます。

Log4J2は攻撃者のサーバーにアクセスする際にRMIまたはLDAPプロトコルを使用し、RMIとLDAPの両方がTCPベースであるため、直接アクセスが可能です.NETを使ってTCPポートを聞く場合、log4j2のログ印刷呼び出しが.NETのリスニングポートにアクセスしれば、脆弱性の可能性が証明され、なければ安全であることが証明されます。

.NETは非常に小さなテストプログラムを生成します6KB、コードは以下の通りです:

ログインが見えます。

log4jコンポーネントを使ってみてください2.14.0バージョンは印刷されており、レンダリングは以下の通りです。

log4jコンポーネントを以下にアップグレードしてみてください2.15.0バージョンを再度実行すると、その効果は次のようになります。

バージョンをアップグレードした後、印刷ログを呼び出すと、Javaプログラムは外部ポートにはアクセスしなくなりました。

興味のある方は、以下のリンクを参照して脆弱性を再現し、計算機を呼び出せます。

ハイパーリンクのログインが見えます。
ハイパーリンクのログインが見えます。

最後に、テスト手順を添付します:

测试程序.rar (2.66 KB, ダウンロード数: 1)

クズども · 掲載地 2021/12/13 13:37:35

Java 8 121以降、この脆弱性を再現するために以下の構成が必要です:

ログインが見えます。

クズども · 掲載地 2021/12/19 12:10:22

ログインが見えます。

林宇森 · 掲載地 2021/12/20 23:09:51

ボスの動きを見てみましょう

トビウオ · 掲載地 2021/12/26 16:54:47

もう一度学びに来てください。。。。。。。

[出典] .NETプログラムは、Javaプロジェクトlog4j2のリモートコード実行脆弱性をテストします

関連記事

閲覧したセクション