Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645) | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

Sunbet_安全工具 申博 195次浏览 已收录 0个评论

本文将分析最近公开的 Log4j1.2.X反序列化漏洞(CVE-2019-17571) ,顺带分析 Log4j2.X反序列化漏洞(CVE-2017-5645)

CVE-2019-17571

影响版本:Log4j1.2.x<=1.2.17

漏洞环境:Log4j1.2.17+Debian+JDK1.7

下载地址:https://logging.apache.org/log4j/1.2/download.html

漏洞分析

其实这个漏洞非常简单,本质就是对从 socket 流中获取的数据没有进行过滤,而直接反序列化。如果当前环境中存在可利用的反序列化 Gadget 链,就可以达到命令执行等效果。我们可以创建如下 Demo 代码用于测试。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

// src/SocketDeserializeDemo.java
import org.apache.log4j.net.SimpleSocketServer;

public class SocketDeserializeDemo {
    public static void main(String[] args){
        System.out.println("INFO: Log4j Listening on port 8888");
        String[] arguments = {"8888", (new SocketDeserializeDemo()).getClass().getClassLoader().getResource("log4j.properties").getPath()};
        SimpleSocketServer.main(arguments);
        System.out.println("INFO: Log4j output successfuly.");
    }
}
# src/resources/log4j.properties
log4j.rootCategory=DEBUG,stdout
log4j.appender.stdout=org.apache.log4j.ConsoleAppender
log4j.appender.stdout.layout=org.apache.log4j.PatternLayout
log4j.appender.stdout.threshold=DEBUG
log4j.appender.stdout.layout.ConversionPattern=[%d{yyy-MM-dd HH:mm:ss,SSS}]-[%p]-[MSG!:%m]-[%c\:%L]%n

我们跟进 SimpleSocketServermain 方法,发现其中调用了 SocketNode 类,具体代码如下。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

如下图, SocketNode 类实现了 Runnable 接口,其构造方法从 socket 流中获取了数据,并将数据封装为一个 ObjectInputStream 对象。然后在其 run 方法中调用了 readObject 方法进行反序列化操作。由于这里没有对数据进行过滤,所以这里就出现了反序列化漏洞。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

这里我们添加一条 commons-collectionsGadget 链用来演示命令执行。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

CVE-2017-5645

影响版本:Log4j2.x<=2.8.1

通过AST来构造Pickle opcode

0x00 前言 本文将通过分析今年几道通过手写Pickle opcode实现bypass的题目总结手撕Pickle的一些tips 以及通过遍历Python AST自动化生成Pickle opcode 0x01 Pickle简述 网上资料已经很多了,我就不再向互联网填充冗余信息了(可学习文末链接中p牛,wywwzjj师傅和Black Hat 2012的文章) 只总结Pickle的几个特点: 非图灵完备的栈语言,没有运算、循环、条件分支等结构 可以实现的操作 构造Python内置基础类型(str, int, float, list, tuple, dict) dict和list成员的赋值(无法直接取值) 对象成员的赋值(无法直接取值) callable对象的调用 通过_Pickler.find_class导入模块中的某对象,find_class的第一个

漏洞环境:Log4j2.8.1+Debian+JDK1.7

下载地址:https://archive.apache.org/dist/logging/log4j/2.8.1/

漏洞分析

漏洞本质和上面是一样的,我们先创建如下 Demo 代码用于测试。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

// src/main/java/Log4jSocketServer.java
import org.apache.logging.log4j.core.net.server.ObjectInputStreamLogEventBridge;
import org.apache.logging.log4j.core.net.server.TcpSocketServer;

import java.io.IOException;
import java.io.ObjectInputStream;

public class Log4jSocketServer {
    public static void main(String[] args){
        TcpSocketServer<ObjectInputStream> myServer = null;
        try{
            myServer = new TcpSocketServer<ObjectInputStream>(8888, new ObjectInputStreamLogEventBridge());
        } catch(IOException e){
            e.printStackTrace();
        }
        myServer.run();
    }
}
<!-- maven文件pom.xml -->
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>log4j-2.x-rce</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.8.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-api -->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.8.1</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/commons-collections/commons-collections -->
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.1</version>
        </dependency>
    </dependencies>

</project>

当我们运行代码后,程序会在本地的 8888 端口开始等待接收数据,然后在下图第105行代码处,将接收到的数据转换成 ObjectInputStream 对象数据,最终在 handler.start() 中调用 SocketHandler 类的 run 方法。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

SocketHandler 类的 run 方法中, ObjectInputStream 对象数据被传入了 ObjectInputStreamLogEventBridge 类的 logEvents 方法,而反序列化就发生在这个方法中。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

同样这里我们添加一条 commons-collectionsGadget 链用来演示命令执行。

Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)

参考

log4j<=1.2.17反序列化漏洞(CVE-2019-17571)分析

CVE-2017-5645 hunting over Code Property Graph using Ocular


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Log4j反序列化分析(CVE-2019-17571&CVE-2017-5645)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址