首页 / JAVA / Java安全之log4j反序列化漏洞分析

Java安全之log4j反序列化漏洞分析

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了Java安全之log4j反序列化漏洞分析，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2465字，纯文字阅读大概需要4分钟。

内容图文

Java安全之log4j反序列化漏洞分析

0x00 前言

前段时间在看某个cms代码的时候，发现log4j组件版本存在漏洞，并且开启了端口，但web站点是nginx反向代理的，而在外网并没有开放到该端口，所以并没有利用成功。但该漏洞遇到的比较少，就算一些cms中log4j组件版本存在漏洞，但是该漏洞需要使用SimpleSocketServer开启端口才能够接受socket中的数据进行反序列化操作，从而才能利用。

0x01 log4j 漏洞简介

漏洞简介

log4j用的其实还是比较多，记录一些Java的日志，这个相信接触过Java的都知道，在此不做多的赘诉。

漏洞版本：CVE-2019-17571

1.2.4 <= Apache Log4j <= 1.2.17

漏洞原因是因为调用SimpleSocketServer.main开启一个端口，进行接受数据，进行反序列化操作。

根据官方描述作用是把接受到的LoggingEvent作为本地的日志记录事件，再使用在服务器端配置的Log4J环境来记录日志。默认可能会开启在4560端口中。

0x02 log4j 反序列化分析

漏洞复现

配置漏洞代码

import org.apache.log4j.net.SimpleSocketServer;
public class log4j {
    public static void main(String[] args) {
        System.out.println("INFO: Log4j Listening on port 1234");
        String[] arguments = {"1234", (new log4j()).getClass().getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
        System.out.println("INFO: Log4j output successfuly.");
    }
}

配置log4j文件

log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

然后使用yso生成gadget的序列化数据，直接使用nc进行发送。但是nc发送传输有时候会有些问题，有时候传输数据缺失，会反序列化失败。

nc 127.0.0.1 1234 < log4j.curl.bin

Java安全之log4j反序列化漏洞分析 - 文章图片

漏洞分析

漏洞比较简单，还是现在漏洞位置先下断点。

Java安全之log4j反序列化漏洞分析 - 文章图片

跟进查看

Java安全之log4j反序列化漏洞分析 - 文章图片

在这里开启serverSocket进行监听，也就是socket的服务端，然后new了SocketNode进行传入。

继续跟进

Java安全之log4j反序列化漏洞分析 - 文章图片

而在这里接受了socket的数据。

下一步会来到run的这个方法里面，是因为前面调用了线程的start，而start的底层会调用run

Java安全之log4j反序列化漏洞分析 - 文章图片

直接就对ois也就是刚刚接受的socket数据，调用readobject进行反序列化。

Java安全之log4j反序列化漏洞分析 - 文章图片

0x03 工具编写

在复现的时候，使用nc发送数据时数据传输不完整，导致反序列化失败。就随手写了一个小工具，方便下次遇到的时候使用（可能也极少能遇到，比较鸡肋）

命令执行：

Java安全之log4j反序列化漏洞分析 - 文章图片

反弹shell：

Java安全之log4j反序列化漏洞分析 - 文章图片

POC:

Java安全之log4j反序列化漏洞分析 - 文章图片

由于比较少见，反序列化回显暂不构造。

github地址：https://github.com/nice0e3/log4j_POC

动动小手点点star

0x04 结尾

log4j的反序列化漏洞比较简单，而类似于这种反序列化工具原理其实差不多，只是发包构造的数据包不一样，分析一下漏洞知道漏洞怎么形成的。原理其实比较简单，但也会遇到很多细节问题，如回显方式，或gui的优化问题。

Java安全之log4j反序列化漏洞分析 - 文章图片

内容总结

以上是互联网集市为您收集整理的Java安全之log4j反序列化漏洞分析全部内容，希望文章能够帮你解决Java安全之log4j反序列化漏洞分析所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/598661.html

来源：【匿名】

【上一篇】java里为什么向上转型后无法调用子类的方法，但是还是一般向上转型？【下一篇】JAVA/JSP学习系列之五

更多 ►

【Java安全之log4j反序列化漏洞分析】教程文章相关的互联网学习教程文章

MessagePack Java Jackson 序列化和反序列化 POJO 为 MessagePack 的数组类型用来与 msgpack-java:0.6 保持兼容性

在 msgpack-java 0.6 或者早期的版本中，POJO 在 MessagePack 中被序列化和反序列化为数组变量。变量的顺序是基于 Java 类中变量的内部顺序了，这种本来是一种原生的序列化方法，但是会导致一些问题。导致这些问题的原因是在 Java 对象的内部变量的顺序与 Java 实现的顺序不能保证完全的一致。从另外一个角度来看，使用 jackson-databind 进行的序列化和反序列化方式是基于 POJO 的 Key-Value 对的。因此在 jackson-dataformat-msg...

JavaScript二进制数据序列化和反序列化【代码】

最近业余时间在搞h5小游戏，由于同步协议过于频繁，和服务器之间的同步直接用json就显得太浪费了，于是我们商讨之下决定改用二进制。学习过程中并没有遇到一篇就解决问题的文章，遂再总结一发。 1.二进制数据的存储ArrayBuffer对象、TypedArray对象、DataView对象是JavaScript操作二进制数据的一个接口。　（1）ArrayBuffer对象：代表内存之中的一段二进制数据，它不能直接读写，只能通过视图（TypedArray视图和DataView视图)来读写...

Asp.Net中JSON的序列化和反序列化-----JavaScriptSerializer ,加上自己工作心得

在工作中和手机通信用到web服务和javascriptSerializer，返回json数据，供手机端调用，一开始返回的数据是一大堆，比如[{"word_picture9":"http://boss.xbxw.net/Upload/word/guojia/p_yinggelan.jpg","word_picture8":"http://boss.xbxw.net/Upload/word/guojia/p_zhongguo.jpg","word_voice2":"http://boss.xbxw.net/Upload/voice/approve.mp3","word_picture13":"http://boss.xbxw.net/Upload/word/gaokao/p_qingxu.jpg","word_...

Java XMl序列化与反序列化【代码】

import javax.xml.bind.JAXBContext; import javax.xml.bind.JAXBException; import javax.xml.bind.Marshaller; import javax.xml.bind.Unmarshaller; import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import java.io.StringWriter; import java.io.UnsupportedEncodingException;public class XmlUtil {/*** 序列化XML* @param object* @return* @throws JAXBException* @throws UnsupportedEncodi...

java 使用xom对象数据序列化为xml、反序列化、Preferences相关操作小案例

package org.rui.io.xml;import java.io.BufferedOutputStream; import java.io.FileOutputStream; import java.io.OutputStream; import java.io.UnsupportedEncodingException; import java.util.Arrays; import java.util.List;import nu.xom.Document; import nu.xom.Element; import nu.xom.Serializer; /*** 序列化到XML中* 使用xom来产生被转换为xml的Element对象的 person数据* *http://www.xom.nu/* XOM虽然也是一种面向...

Java安全之反序列化回显研究【代码】【图】

Java安全之反序列化回显研究0x00 前言续上文反序列化回显与内存马，继续来看看反序列化回显的方式。上篇文中其实是利用中间件中存储的Request 和Response对象来进行回显。但并不止这么一种方式。0x01 回显方式中间件回显defineClassLinux描述符回显RMI绑定实例URLClassLoader抛出异常写文件css、jsdnslogdefineClass异常回显异常类：package com.nice0e3;import java.io.BufferedReader; import java.io.InputStream; import java....

java反序列化-ysoserial-调试分析总结篇(3)【代码】【图】

前言：这篇文章主要分析commoncollections3，这条利用链如yso描述，这个与cc1类似，只是反射调用方法是用的不是invokeTransformer而用的是InstantiateTransformer，整个调用过程如下图利用链分析：如上图所示，入口点还是Annotationinvoationhandler的Entryset此时将会调用membervalues.get，其中var4位entryset，而membervalues中存储的为lazymap类的实例，即调用lazymap的get函数即接着调用chainedTransformer来对key进行转换其中...

一文读懂 Java 序列化与反序列化【代码】【图】

Java 将创建出来的对象，存放在 JVM 的对内存中，只有在 JVM 运行的时候，这些对象才会存在，一旦 JVM 停止运行，这些对象的状态也就随之消失了。但是在一些应用场景中，我们需要将这些对象进行持久化，并且需要在使用的时候能够重新读取对象信息，比如说在 RPC 调用的时候，需要将对象通过网络进行传输，此时就需要下将对象记性序列化进行传输，再将其反序列化进行处理。序列化(Serialization)是指将对象的状态信息，转换成可以可...

Java提供的序列化和反序列化【代码】

序列化：是指将Java对象转换为二进制数据。反序列化：将二进制数据转换为Java对象。与序列化功能相关的类有：java.io.Serializable;java.io.ObjectOutputStream（用于序列化）java.io.ObjectInputStream（用于反序列化）序列化对象的前提：该对象所属的类实现了 java.io.Serializable 接口该类的成员变量中有一个是序列化id 反序列化对象的前提：反序列化对象类也需要实现 java.io.Serializable 接口　　序列化端和反序列化端，序...

什么是Java序列化和反序列化，如何实现Java序列化【代码】

1.概念　　序列化：把Java对象转换为字节序列的过程。　　反序列化：把字节序列恢复为Java对象的过程。2.用途　　对象的序列化主要有两种用途：　　1）把对象的字节序列永久地保存到硬盘上，通常存放在一个文件中；　　2）在网络上传送对象的字节序列。序列化就是一种用来处理对象流的机制，所谓对象流也就是将对象的内容进行流化。可以对流化后的对象进行读写操作，也可将流化后的对象传输于网络之间。序列化是为了解决在对对象...

Java对象的序列化和反序列化【代码】

对象的序列化是指将对象转换为字节序列的过程对象的反序列化是指将字节序列恢复对象的过程主要有两种用途：1、把对象的字节序列永久地保存在硬盘上，通常放在一个文件中。2、在网络上传输对象的字节序列。Person类package com.zyz;import java.io.Serializable;/*** Created by Administrator on 16-9-25.*/publicclass Person implements Serializable {private String name;privateint age;private String sex;public String get...

自定义序列化和反序列化的java实现【代码】

package j2se.IO;import java.io.*;/** * Created by jingqing.zhou on 2015/6/12. * ByteArrayOutputStream :可以捕获内存缓冲区的数据，转换成字节数组。 * DataInputStream&DataOutputStream关心如何将数据从高层次的形式转化成低层次的形式. * FileInputStream&FileOutputStream关心如何操作存储单元以接受和产生数据。 */ public class ByteArrayIO { //序列化对象为String字符串，先对序列化后的结果进行BASE64编码...

java 对象序列化与反序列化

这篇文章主要就 Java 对象的序列化与反序列化进行讨论,好了,直接入题:一. 序列化与反序列化的含义: Java序列化是指把Java对象转换为字节序列的过程；而Java反序列化是指把字节序列恢复为Java对象的过程二. 序列化与反序列化的目的: 将Java 对象变成二进制字节,以便在两个进程中通信或传输,提高通信效率,实现数据的持久化三.JDK 中序列化相关的类: 1. java.io.ObjectOutputStream：表示对象输出流它的writeObject(Obje...

Java审计之CMS中的那些反序列化漏洞【代码】【图】

Java审计之CMS中的那些反序列化漏洞0x00 前言过年这段时间比较无聊，找了一套源码审计了一下，发现几个有意思的点拿出来给分享一下。0x01 XStream 反序列化漏洞下载源码下来发现并不是源代码，而是一个的文件夹，里面都已经是编译过的一个个class文件。在一个微信回调的路由位置里面找到通过搜索类名 Serialize关键字找到了一个工具类，并且参数是可控的。这里调用xstream.fromXML(xml)进行反序列化。而下面这个看了一下lib文件夹下...

Jackson反序列化泛型List(使用JavaType将json字符串转换成泛型List)【代码】

ObjectMapper mapper = new ObjectMapper(); String json = "[{\"name\":\"a\",\"password\":\"345\"},{\"name\":\"b\",\"password\":\"123\"}]";//第一种方法 List<User> list = mapper.readValue(json, new TypeReference<List<User>>(){/**/});//第二种方法 JavaType javaType = mapper.getTypeFactory().constructCollectionType(List.class, User.class); List<User> list2 = mapper.readValue(json, javaType); Jackson，我感...

首页 / JAVA / Java安全之log4j反序列化漏洞分析

Java安全之log4j反序列化漏洞分析

内容导读

内容图文

Java安全之log4j反序列化漏洞分析

0x00 前言

0x01 log4j 漏洞简介

漏洞简介

0x02 log4j 反序列化分析

漏洞复现

漏洞分析

0x03 工具编写

0x04 结尾

内容总结

内容备注

内容手机端

【Java安全之log4j反序列化漏洞分析】教程文章相关的互联网学习教程文章

MessagePack Java Jackson 序列化和反序列化 POJO 为 MessagePack 的数组类型用来与 msgpack-java:0.6 保持兼容性

JavaScript二进制数据序列化和反序列化【代码】

Asp.Net中JSON的序列化和反序列化-----JavaScriptSerializer ,加上自己工作心得

Java XMl序列化与反序列化【代码】

java 使用xom对象数据序列化为xml、反序列化、Preferences相关操作小案例

Java安全之反序列化回显研究【代码】【图】

java反序列化-ysoserial-调试分析总结篇(3)【代码】【图】

一文读懂 Java 序列化与反序列化【代码】【图】

Java提供的序列化和反序列化【代码】

什么是Java序列化和反序列化，如何实现Java序列化【代码】

Java对象的序列化和反序列化【代码】

自定义序列化和反序列化的java实现【代码】

java 对象序列化与反序列化

Java审计之CMS中的那些反序列化漏洞【代码】【图】

Jackson反序列化泛型List(使用JavaType将json字符串转换成泛型List)【代码】

JAVA - 相关标签

反序列化 - 相关标签

漏洞 - 相关标签

JAVA - 技术教程分类

JAVA - 最新教程

JAVA - 最热教程