Log4j rce 复现
log4j远程代码执行分析
由于log4j提供了对JNDI表达式的解析功能,从Log.error()中传入的poc会被log4j触发并执行。
log4j 执行过程
org.apache.logging.log4j.core.layout.PatternLayout.PatternSerializer#toSerializable(org.apache.logging.log4j.core.LogEvent, java.lang.StringBuilder)方法循环调用
for(int i = 0; i < len; ++i) {
this.formatters[i].format(event, buffer);
}
关键触发点org.apache.logging.log4j.core.pattern.PatternFormatter#format方法,format方法中又会对org.apache.logging.log4j.core.pattern.MessagePatternConverter#format方法进行调用。Message类format方法会判断传入的字符串是否包含${}关键字。
通过replace()最终调用到了org.apache.logging.log4j.core.lookup.StrSubstitutor#resolveVariable触发了整条链的关键方法lookup。
org.apache.logging.log4j.core.lookup.Interpolator#lookup方法会截取传入的字符来决定将要使用的lookup查询方法,通过该方法体的处理,我们调到了JndiLookup类下的lookup方法。
通过JNDI#lookup调到org.apache.logging.log4j.core.net.JndiManager#lookup方法,通过JndiManager#lookup调到InitalContext类的lookup方法进行JNDI查询。
然后一系列的处理大致做了对传入的URl进行截取,截取到url中包含的class类名,然后通过loadClass()方法加载该类,最终执行我们远程存放的类的代码,创建一个文件。
