|
|
Zverejnené 11.12.2021 21:06:29
|
|
|
|
Za posledné dva dni bol v okruhu priateľov označený "zraniteľnosťou vzdialeného vykonávania kódu Apache Log4j2", hlavne kvôli zraniteľnosti Java JNDI injection v komponente: keď program zapíše údaje zadané používateľom do logu, útočník vytvorí špeciálnu požiadavku na spustenie zraniteľnosti vzdialeného vykonávania kódu v Apache Log4j2, čím túto zraniteľnosť zneužije na vykonanie ľubovoľného kódu na cieľovom serveri.
Rozsah vplyvu
Apache Log4j 2.x <= 2.14.1
JNDI (Java Naming and Directory Interface) je Java rozhranie na pomenovanie a adresáre poskytované spoločnosťou Java. Volaním API JNDI môžu aplikácie lokalizovať zdroje a iné programové objekty. JNDI je dôležitou súčasťou Java EE, treba poznamenať, že nezahŕňa len DataSource (zdroj dát JDBC), JNDI má prístup k existujúcim adresárom a službám ako: JDBC, LDAP, RMI, DNS, NIS, CORBA, vybrané z Baidu Encyclopedia.
Na internete je veľa článkov o tom, ako opraviť zraniteľnosti a screenshotov zraniteľností, ale málo o tom, ako testovať projekt na túto zraniteľnosť.Java používa Log4j2 hlavne na testovanie kóduTakto:
Jednoducho povedané, Log4j2 pristupuje k nasledujúcej adrese cez protokol RMI alebo LDAP a podľa obsahu protokolu môže vykonávať škodlivo vytvorený kód.
Existencia zraniteľnosti sa takmer vždy dokáže na internete otvorením kalkulačky Windows a kód je nasledovný:
Keďže Log4J2 používa protokoly RMI alebo LDAP na prístup k serveru útočníka a protokoly RMI aj LDAP sú založené na TCP, môžeme to urobiť priamoPoužitím .NET na počúvanie na TCP porte, ak volanie log4j2 na tlač logov pristupuje k .NET listening portu, dokazuje to, že môže existovať zraniteľnosť, a ak nie, je to bezpečné。
.NET generuje veľmi malé testovacie programy6kb, kód je nasledovný:
Skús použiť komponent log4j2.14.0Verzia je vytlačená a renderovanie je nasledovné:
Skús upgradovať komponent log4j na2.15.0Verzia, vykonaná znova, účinok je nasledovný:
Po aktualizácii verzie sa zistí, že po zavolaní tlačového logu,Java program už nepristupuje k externému portu。
Záujemci, priatelia, môžete sa pozrieť na nasledujúci odkaz, aby ste zreprodukovali zraniteľnosť a vyvolali kalkulačku.
Prihlásenie na hypertextový odkaz je viditeľné.
Prihlásenie na hypertextový odkaz je viditeľné.
Nakoniec priložte testovací postup:
测试程序.rar
(2.66 KB, Počet stiahnutí: 1)
|
Predchádzajúci:[Skutočný boj]. NET/C# Vytvorte databázu SQLite a jednoducho pridávajte, mažte, upravujteBudúci:CentOS systémový nacos tutoriál
|
Prenajímateľ|
Zverejnené 13.12.2021 o 13:37:35
|
Zverejnené 2021-12-20 23:09:51
|
