Technical Docs/Web Application (10) 썸네일형 리스트형 Log4j JNDI Injection 부분 간단정리 ? Log4j Shell 에서 뭐 원격지의 코드는 받아오는데 그래서 뭐 어케 실행되는거임? 하는 궁금증이 생겨서 메모겸 블로그 글을 작성한다 ## JNDI ? JNDI는 Java Naming and Directory Interface로 디렉터리 서비스(LDAP, DNS, NIS, 파일 시스템)를 발견하고 Lookup을 통해 디렉터리 Object를 Naming 해주는 Java API이다. Naming을 사용할 때 ${protocol:value} 이런식으로 Binding 되기 때문에 이번 공격의 페이로드가 ${ldap:127.0.0.0/a} 이런모양이다. 라고 이전 Log4j 게시물에 작성을 했다. ## 핵심 log4j 의 로깅하는 부분에서 JNDI 구문이 실행 가능하다. ---> 요게 log4j의 핵심이고 J.. 뚜봄뚜봄 2022. 2. 12. 13:36 Log4j 취약점 CVE-2021-44228 (Remote Code Injection) 2021년 12월9일 해당 취약점 나온듯? 현재 CVE 번호는 CVE-2021-44228 임 ## 핵심 Flow 는 아래와 같음 A : Log4j 취약한 버전을 사용하는 서버 B : 공격자 A의 서버에서 사용자의 입력을 로그로 저장하는 곳이 존재함 (ex. HTTP Header 중 X-Api-Version) 해당 장소에 B가 페이로드를 넘김 서버가 B의 입력을 로그 기록함 JNDI Lookup을 통해 해당 구문이 실행됨 (코드는 JNDI Injection 페이로드로 구성되며, 해당 코드를 실행시키는건 JNDI Lookup을 통해 이루어짐) JNDI Injection 관련 내용은 아래 링크에 있음 https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-J.. 뚜봄뚜봄 2021. 12. 20. 22:14 이전 1 2 다음
