log4j2RCE复现

什么是LOG4j?

Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

 

 

漏洞成因

lookup

根据官方文档,log4j可以使用 ${java:xx} 的形式进行一些信息的查询

 

同时,log4j还允许使用jndi的方式进行查询

从这里就导致了拥有log4j的组件的服务器可以对其他机器进行一个访问的行为

 

漏洞复现

一个简短的POC

 

 成功接受到信息

 

 

可以直接利用jndi注入工具来实现rce

弹个计算器

 

 

总结

总体来说,明明就是一个日志组件,却想让他什么活都能干,结果就是给他的功能给多了,导致现在爆出这样的一个漏洞

 

修复方案:

升级组件至 rc2版本

 

 参考文章:

https://xz.aliyun.com/t/10649#toc-3

 

posted @ 2021-12-13 10:23  f1veseven  阅读(629)  评论(0编辑  收藏  举报