In de afgelopen twee dagen is het in de vriendenkring gegrepen door de "Apache Log4j2 remote code execution offensability", voornamelijk vanwege de Java JNDI-injectiekwetsbaarheid in de component: wanneer het programma de door de gebruiker ingevoerde gegevens in het logboek schrijft, construeert de aanvaller een speciaal verzoek om de remote code execution-kwetsbaarheid in Apache Log4j2 te activeren, waardoor deze kwetsbaarheid wordt uitgebuit om willekeurige code op de doelserver uit te voeren.
Reikwijdte van invloed
Apache Log4j 2.x <= 2.14.1
JNDI (Java Naming and Directory Interface) is een Java-naamgeving en directory-interface die door Java wordt aangeboden. Door de API van JNDI aan te roepen, kunnen applicaties resources en andere programmaobjecten lokaliseren. JNDI is een belangrijk onderdeel van Java EE; het moet worden opgemerkt dat het niet alleen DataSource (JDBC-databron) bevat, maar ook bestaande directories en diensten kan benaderen zoals: JDBC, LDAP, RMI, DNS, NIS, CORBA, een fragment uit de Baidu Encyclopedia.
Er zijn veel artikelen op internet over hoe je kwetsbaarheden kunt oplossen en screenshots van kwetsbaarheden, maar weinig over hoe je het project op de kwetsbaarheid kunt testen.Java gebruikt Log4j2 voornamelijk om de code te testenAls volgt:
In eenvoudige termen zal Log4j2 het volgende adres bereiken via het RMI- of LDAP-protocol, en afhankelijk van de inhoud van het protocol kan het kwaadaardig geconstrueerde code uitvoeren.
Het bestaan van de kwetsbaarheid wordt bijna altijd op internet bewezen door een Windows-rekenmachine te openen, en de code is als volgt:
Omdat Log4J2 RMI- of LDAP-protocollen gebruikt om toegang te krijgen tot de server van de aanvaller, en zowel RMI- als LDAP-protocollen TCP-gebaseerd zijn, kunnen we dit direct doenMet .NET om te luisteren op een TCP-poort, en een oproep naar log4j2 om logs te printen toegang geeft tot de .NET-luisterpoort, bewijst dit dat er mogelijk een kwetsbaarheid is, en zo niet, dan is het veilig。
.NET genereert zeer kleine testprogramma's6kb, de code is als volgt:
Probeer de log4j-component te gebruiken2.14.0De versie is gedrukt en de weergave is als volgt:
Probeer de log4j-component te upgraden naar2.15.0versie, opnieuw uitgevoerd, is het effect als volgt:
Na het upgraden van de versie blijkt dat na het aanroepen van het printlogboek,Het Java-programma heeft geen toegang meer tot de externe poort。
Geïnteresseerde vrienden, u kunt de volgende link raadplegen om de kwetsbaarheid te reproduceren en de rekenmachine tevoorschijn te halen.
De hyperlink-login is zichtbaar.
De hyperlink-login is zichtbaar.
Voeg tot slot de testprocedure toe:
测试程序.rar
(2.66 KB, Aantal downloads: 1)
|
Geplaatst op 11-12-2021 21:06:29
|
|
|
|
Huisbaas|
Geplaatst op 13-12-2021 13:37:35
|
Geplaatst op 20-12-2021 23:09:51
|
