Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Programiranje .Net/C # .NET program testira Java projekt log4j2 za oddaljeno izvajanje kode ...
Pogled: 10163|Odgovoriti: 4

[Vir] .NET program testira Java projekt log4j2 za ranljivost pri oddaljenem izvajanju kode

[Kopiraj povezavo]
Objavljeno 2021-12-11 21:06:29 | | | |
V zadnjih dveh dneh ga je v krogu prijateljev ukradel "ranljivost za oddaljeno izvajanje kode Apache Log4j2", predvsem zaradi ranljivosti Java JNDI injection v komponenti: ko program vpiše podatke, ki jih je uporabnik vnesel v dnevnik, napadalec ustvari posebno zahtevo za sprožitev ranljivosti za oddaljeno izvajanje kode v Apache Log4j2, s čimer izkoristi to ranljivost za izvajanje poljubne kode na ciljnem strežniku.

Obseg vpliva

Apache Log4j 2.x <= 2.14.1

JNDI (Java Naming and Directory Interface) je Java vmesnik za poimenovanje in imenike, ki ga zagotavlja Java. S klicem JNDI API-ja lahko aplikacije locirajo vire in druge programske objekte. JNDI je pomemben del Java EE, treba je poudariti, da ne vključuje le DataSource (JDBC podatkovni vir), JNDI pa lahko dostopa do obstoječih imenikov in storitev, kot so: JDBC, LDAP, RMI, DNS, NIS, CORBA, izsek iz Baidu enciklopedije.

Na internetu je veliko člankov o tem, kako popraviti ranljivosti in posnetkov zaslona ranljivosti, a malo o tem, kako testirati projekt glede ranljivosti.Java uporablja Log4j2 predvsem za testiranje kodeKot sledi:


Preprosto povedano, Log4j2 bo dostopal do naslednjega naslova prek protokola RMI ali LDAP in glede na vsebino protokola lahko izvaja zlonamerno sestavljeno kodo.

Obstoj ranljivosti je skoraj vedno dokazan na internetu z odpiranjem Windows kalkulatorja, koda pa je naslednja:

Ker Log4J2 uporablja protokole RMI ali LDAP za dostop do strežnika napadalca, in sta tako RMI kot LDAP protokola osnovana na TCP, lahko to storimo neposrednoUporaba .NET za poslušanje na TCP portu, če klic log4j2 za tiskanje dnevnikov dostopa do .NET poslušalnega porta, to dokaže, da obstaja ranljivost, in če ne, je to varno

.NET generira zelo majhne testne programe6kb, koda je naslednja:

Poskusi uporabiti log4j komponento2.14.0Različica je natisnjena, upodobitev pa je naslednja:



Poskusi nadgraditi komponento log4j na2.15.0Različica, izvedena znova, je učinek naslednji:



Po nadgradnji različice ugotovimo, da po klicu tiskalnega dnevnika,Java program ne dostopa več do zunanjega porta

Zainteresirani prijatelji, lahko pogledate naslednjo povezavo, da ponazorite ranljivost in pokličete kalkulator.

Prijava do hiperpovezave je vidna.
Prijava do hiperpovezave je vidna.

Na koncu priložite postopek testiranja:

测试程序.rar (2.66 KB, Število prenosov: 1)





Prejšnji:[Dejanski boj]. NET/C# Ustvarite SQLite bazo podatkov in preprosto dodajte, brišite, spreminjajte
Naslednji:Nacos vodič za uvajanje sistema CentOS

Sorodne objave
 Najemodajalec| Objavljeno 13. 12. 2021 ob 13:37:35 |
Po Java 8 121 so za ponovitev ranljivosti potrebne naslednje konfiguracije:

 Najemodajalec| Objavljeno 19. 12. 2021 ob 12:10:22 |
Objavljeno 2021-12-20 23:09:51 |
Poglejmo delovanje šefa
Objavljeno 26. 12. 2021 ob 16:54:47 |
Pridi in se spet uči。。。。。。。
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com