zoukankan      html  css  js  c++  java
  • 如何看待 Apache Log4j 2 远程代码执行漏洞?免费实战带你复现!

    Apache Log4j2 是一款优秀的 Java 日志框架,大量的业务框架都使用了该组件。

    2021 年 11 月 24 日,阿里云安全团队向 Apache 官方报告了 Apache Log4j2 远程代码执行漏洞,这个漏洞触发条件低,危害大

    12 月 10 日凌晨,Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。

    CVE 编号:CVE-2021-44228

    受影响版本:log4j2 2.0-beta9~2.14.1

    这一则消息一出,让很多安全工程师难以入眠,立刻起身进入“战斗防御状态”。这就让我想到了最近的浙江疫情,医护人员连夜紧急到位进入“战斗状态”。

    (PS:最近疫情高发,小伙伴们一定要勤洗手、带口罩、勿乱跑哦!)

    除了各企业的安全人员,各安全大厂商也是立刻开始进行漏洞真实性的验证,并紧急通知用户进行规则升级以抵御最新漏洞,避免漏洞危害严重扩散。
    到底有多严重呢?我随便说一个,自己感受一下:
    企业打补丁可能需要几小时,甚至要花上好几天,但黑客攻击,却只需要几分钟时间!到底是打补丁更快,还是黑客攻击更快,就不用我多说吧?

    Apache Log4j2 并不是一个特定的 Web 服务,而是一个用于处理日志的第三方日志框架(库),任何 Java Web 都可能使用到该日志框架,使用 Log4j2 的真的超级多,多到数不清。

    真要数出个一二,不如数没有使用 Log4j2 的来得更快一些。可想而知,被攻击后,波及范围有多广了。

    那如何复现这个漏洞,并修复呢?

    我们可以通过很多基于 Java 开发的 Web 服务来复现这个漏洞,只要该服务使用到 log4j2 库(漏洞影响范围内的版本)即可,比如 Apache Solr 。

    触发漏洞的方法非常简单,只需要向 Solr 管理员接口的 action 参数发送 Payload ,由于该接口会调用 log4j 记录日志,因此会触发漏洞执行。该接口如下:

    http://127.0.0.1:8983/solr/admin/cores?action=
    

    接下来使用 DNSlog 来构造验证 Payload。

    DNS Log 对于大部分渗透测试的同学来说,应该会比较熟悉,经常被用于测试盲打盲注类的漏洞。

    如果你不清楚,可以简单理解为:我们获取一个临时的域名,如果远程服务器尝试访问该域名,就会在 DNS 上留下访问记录,此时我们可以通过查询该记录获取到一些外带信息。

    当然了, DNS log 只是作为验证漏洞是否存在的方法之一,并不是唯一解。

    蓝桥云课小小地蹭了个热度图片,推出了《 Apache Log4j 2 远程代码执行漏洞详解》,用动手实验的方式来帮助大家复现 Apache Log4j2 远程代码执行漏洞。
    在这里插入图片描述

    本次课程会详细介绍该漏洞原理、利用方式、挖掘方式和修复方法,并包含可动手操作的在线实验环境,帮助你更加深刻的理解该漏洞。

    重点来了!即刻起,免费学!
    Apache Log4j 2 远程代码执行漏洞

    现在,我们来说说漏洞的挖掘方法和工具

    漏洞挖掘可以分别从白盒和黑盒两个角度进行:

    • 如果你是审查自己的应用是否受到 log4j2 漏洞影响,白盒测试是你应该首选的方式,能够帮助你从源码层面做最全面的检查。
    • 黑盒测试有着很大的不确定性,因为从黑盒角度来说,任何一个参数都可能会触发 log4j2 漏洞。因此黑盒测试的准确性,很大一部分取决于测试到的参数是否全面。

    我推荐两款工具,供大家参考:

    1、白盒测试推荐使用下面这个工具进行源代码扫描:

    CVE-2021-44228-Scanner

    可以根据平台下载对应的版本:

    在这里插入图片描述

    2、黑盒测试推荐使用下面这个工具:

    BurpSuite Pro 插件

    打开 BurpSuite Pro,切换到 Extender -> BApp Store,在右侧的搜索框中搜索 log4,可以看到两个插件(截止 2021 年 12 月 22 日):

    • log4shell Everywhere:被动扫描插件
    • log4Shell Scanner:主动扫描插件

    分别安装以上两个插件,然后在 Active Scan 和 Passive Scan 中便会自动检查 log4j 漏洞,如果有发现漏洞,结果会在 Dashboard 中展示。
    在这里插入图片描述

    好了,今天的 Apache Log4j 2 远程代码执行漏洞就分享到这里了。如果你想要复现此漏洞,并自己实操练习的话,可以戳下方链接免费体验哦~
    Apache Log4j 2 远程代码执行漏洞

  • 相关阅读:
    [手游项目2]-25-linux 端口time_wait
    [手游项目2]-24-linux MySql编译安装
    诛仙手游法宝铸元性价比
    法宝精进性价比对比
    [手游项目2]-23-游戏数据存储解决方案
    [手游项目2]-22-lua内存问题
    [手游项目2]-21-死循环排查
    [手游项目2]-20-mysql还原一个库的部分数据
    [手游项目2]-19-EError=1118, Reason=Row size too large (> 8126)
    bzoj1471
  • 原文地址:https://www.cnblogs.com/shiyanlou/p/15748211.html
Copyright © 2011-2022 走看看