【技术实现步骤摘要】
一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法
[0001]本专利技术属于网络安全
,涉及远程命令执行注入领域,具体地涉及一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法。
技术介绍
[0002]2021年12月9日,Apache Log4j2远程代码执行漏洞(CVE
‑
2021
‑
44228)公开。Apache Log4j从2.0
‑
beta9到2.15.0(不包括安全版本2.12.2,2.12.3,和2.3.1)的全版本都存在远程代码执行漏洞,攻击者使用“${}”标识符,触发JNDI注入漏洞,可在未授权的情况下远程执行代码,获得服务器控制权限。该漏洞危害程度高、利用难度低、影响范围大。
[0003]目前国内外对于Apache Log4j2远程代码执行漏洞的应急方法大体相近,大都建议更新Log4j2至2.15.1
‑
rc2及以上的版本,进而从根本上防御Apache Log4j2远程代码执行漏洞。同时对于部分暂时无法更新Log4j2版本的用户,大都采用部署使用第三方防火墙产品的方式进行安全防护,并更新WAF、RASP规则等,实时监测网络流量,匹配过滤恶意请求。
[0004]但是由于Apache Log4j2远程代码执行漏洞特性,Web应用防火墙规则仍然存在缺陷。因而构建多样化的Apache Log4j2远程代码执行漏洞的有效荷载,对Web应用防火墙规则优化存在重要意义。
专利 ...
【技术保护点】
【技术特征摘要】
1.一种基于自顶向下的Apache Log4j2远程代码执行语句构造方法,其特征在于,包括如下步骤:步骤一:构造数据混淆规则集G,包括等价替换规则集G
E
、敏感字符替换规则集G
c
和无意义数据集G
U
,即G=(G
E
,G
c
,G
U
);步骤二:将Apache Log4j2远程代码执行语句S分为4个部分:标识符“${}”、jndi属性名、jndi可访问服务、访问服务器IP地址,分别命名为S
L
,S
A
,S
AS
和S
IP
,即S={S
L
,S
A
,S
AS
,S
IP
};步骤三:利用数据混淆规则集G,对S
A
、S
AS
和S
IP
进行自顶向下的逐层细粒度混淆,依次得到对S
A
、S
AS
和S
IP
细粒度混淆完成的语句T
A
、T
AS
和T
IP
,最终获得细粒度混淆完成的Apache Log4j2远程代码执行语句T={S
L
,T
A
,T
AS
,T
IP
}。2.根据权利要求1所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法,其特征在于,利用数据混淆规则集G,对S
A
、S
AS
和S
IP
进行自顶向下的逐层细粒度混淆时,同时利用等价替换规则集G
E
、敏感字符替换规则集G
c
和无意义数据集G
U
进行逐层细粒度混淆。3.根据权利要求1所述的基于自顶向下的Apache Log4j2远程代码执行语句构造方法,其特征在于,所述等价替换规则集合G
E
,用于在Apache Log4j2远程代码执行语句中,生成多样化的恶意数据;所述敏感字符替换规则集合Gc,用于Apache Log4j2远程代码执行语句中敏感字符的替换;所述无意义数据集合G
U
,用于增加Apache Log4j2远程代码执行语句逻辑复杂性。4.根据权利要求2所述的基于自顶向下的Apache Log4j2远...
【专利技术属性】
技术研发人员:吕萍,刘智扬,王余,谭宇辰,葛方隽,魏启超,
申请(专利权)人:杭州中尔网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。