本文将分析最近公开的 Log4j1.2.X反序列化漏洞(CVE-2019-17571) ,顺带分析 Log4j2.X反序列化漏洞(CVE-2017-5645)

CVE-2019-17571

影响版本:Log4j1.2.x<=1.2.17

漏洞环境:Log4j1.2.17+Debian+JDK1.7

下载地址:https://logging.apache.org/log4j/1.2/download.html

漏洞分析

其实这个漏洞非常简单,本质就是对从 socket 流中获取的数据没有进行过滤,而直接反序列化。如果当前环境中存在可利用的反序列化 Gadget 链,就可以达到命令执行等效果。我们可以创建如下 Demo 代码用于测试。

// src/SocketDeserializeDemo.java
import org.apache.log4j.net.SimpleSocketServer;

public class SocketDeserializeDemo {
    public static void main(String[] args){
        System.out.println("INFO: Log4j Listening on port 8888");
        String[] arguments = {"8888", (new SocketDeserializeDemo()).getClass().getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
        System.out.println("INFO: Log4j output successfuly.");
    }
}
# src/resources/log4j.properties
log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

我们跟进 SimpleSocketServermain 方法,发现其中调用了 SocketNode 类,具体代码如下。

点击收藏 | 0 关注 | 1
登录 后跟帖