Log4j 反序列化分析—CVE-2017-5645

什么是Log4j？

在应用程序中添加日志记录最普通的做法就是在代码中嵌入许多的打印语句，这些打印语句可以输出到控制台或文件中，比较好的做法就是构造一个日志操作类来封装此类操作，而不是让一系列的打印语句充斥了代码的主体。
Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。
Log4j在工程中可以易用，方便等代替了 System.out 等打印语句，它是Java下最流行的日志输入工具，一些著名的开源项目，像spring、hibernate、struts都使用该工具作为日志输入工具，可以帮助调试（有时候debug是发挥不了作用的）和分析。

漏洞分析

该漏洞的触发需要开启TCP或者UDP服务

TCP

先看一下TcpSocketServer这个类，定位到其main方法，在TCP服务运行时便会执行

首先通过 BasicCommandLineArguments.parseCommandLine 方法解析命令行参数。该方法使用 TcpSocketServer.class 和 CommandLineArguments 类型作为参数来解析命令行参数。然后检查是否传入了帮助选项（--help 或 -h），如果传入了帮助选项，则直接返回，不进行后续的操作。接着检查是否传入了配置文件位置的参数（--config 或 -c），如果有，则使用传入的配置文件位置创建一个 ServerConfigurationFactory 对象，并将其设置为 ConfigurationFactory 的默认实例，以便在后续的日志配置中使用该工厂。

然后会调用createSerializedSocketServer方法，跟进一下

重新创建了一个TcpSocketServer对象，并实例化了一个ObjectInputStreamLogEventBridge对象作为参数传入，接着调用了socketServer.startNewThread方法，跟进

有个start函数，而当start函数执行时，便会调用TcpSocketServer的run方法

实例化了一个SocketHandler对象，跟进其构造方法

构造函数里，获取了 socket 中的数据流后，传入了 logEventInput 的wrapStream中，这个logEventInput就是最开始实例化TcpSocketServer类时传入的ObjectInputStreamLogEventBridge对象，那就继续跟进ObjectInputStreamLogEventBridge的wrapStream方法

将得到的数据流作为ObjectInputStream的参数传入，并返回这个对象，回到run方法，继续调用handler.start()方法，也就是SocketHandler的start方法，也就调用了其run方法，跟进

然后又调用了logEvents方法，跟进

将传入的数据流进行反序列化，产生漏洞

UDP

还是看看UdpSocketServer类

其实都是一样的，就不分析了

漏洞复现

利用vulhub复现，启动后会在4712端口开启一个TCP服务，直接向该端口发送数据即可

java -jar ysoserial.jar CommonsCollections5 "touch /tmp/success" | nc IP 4712