Log4j2漏洞簡單分析

2023-03-04 10:29 作者:執(zhí)筆畫倩 0人讀過 | 我要投稿

之前在實習寫的文章都投到了公司平臺，沒有在這邊更新，后面會在freebuf上重新更新記錄。這個也是去年剛出這個漏洞的時候分析的，沒有發(fā)布在外面平臺。

一、環(huán)境搭建

1.引入jar包

使用idea新建項目并且引入jar包，這里需要兩個包log4j-core和log4j-api。在https://logging.apache.org/log4j/2.x/download.html下載編譯好的Apache Log4j jar包或者網(wǎng)盤下載鏈接：https://www.aliyundrive.com/s/NQY9Lj5Nbfq。

在file處點擊Project Structure來添加下載的jar包。

完成后可以在這里看到添加的包

2.添加漏洞代碼

二、漏洞復現(xiàn)

1.使用jndi注入工具起一個服務，這里我使用https://github.com/welk1n/JNDI-Injection-Exploit這個工具，在本地執(zhí)行開啟Typora的命令

因為我這里是1.8的環(huán)境所以選擇框出來的這個路徑

運行代碼即可執(zhí)行命令

服務接受到連接信息

根據(jù)這個思路我們可以不使用dnslog類平臺來檢測，github有一個burp的插件項目依靠查看ldap服務是否有連接進來來判斷是否存在漏洞，使用這種方法就可以在本機或vps上起一個服務來判斷這樣會快很多，而且內(nèi)網(wǎng)環(huán)境搭在本機也可以使用。網(wǎng)盤鏈接：https://www.aliyundrive.com/s/3kDp5HELGxo

三、漏洞分析

我們知道這個漏洞是個jndi的注入那么就可以在lookup處打斷點來查看調用棧（也可以在執(zhí)行命令的地方java.lang.Runtime的exec方法下斷點），全局搜索InitialContext類在lookup處下斷點

debug下可以看到調用棧，整個還是很深的。

漏洞觸發(fā)的入口函數(shù)在logIfEnabled,這里需要知道的是為什么我們的payload${jndi:JNDIContent}能夠被傳入，原因是在log4j2中有8個日志級別，error()和fatal()方法可默認觸發(fā)漏洞，其余的方法需要配置日志級別才可以觸發(fā)漏洞。因為在logIfEnabled方法中，對當前日志等級進行了一次判斷，當isEnabled方法為true才能進入到logMessage：

跟進下去可以看到進行判斷的方法為filter，return返回的值是需要現(xiàn)在的日志等級大于等于默認等級的

然后才可以執(zhí)行到logMessage這個方法中，將payload傳遞下去。

后面的調用方法都是關于包裝和調用的了，不關鍵的調用如下

這里需要說明的是在前面的PatternSerializer這個類中會格式化我們傳遞過來的payload，這里是會調用converter.format()的，而convertrt是屬于MessagePatternConverter這個類的，然后到了MessagePatternConverter中的format方法中