Version vom 23. Dezember 2021, 07:32 Uhr

Schaubild

log4j ist ein Framework zum Loggen von Anwendungsmeldungen in Java.
Hat es sich über die Jahre zu einem De-facto-Standard entwickelt.
log4j gilt als Vorreiter für andere Logging-Frameworks, auch in anderen Programmiersprachen.

Auftretende Fehler und Infomeldungen werden nicht auf der Standardausgabe auszugeben,
log4j dient dazu, die Meldungen über sogenannte Logger an das gewählte Loggingsystem weiterzuleiten.
Neben der Auswahl des Loggingsystems gibt es noch die Wichtigkeit („Log-Level“) der Meldung.
Aufgrund dieser wird entschieden ob überhaupt weitergeleitet wird.
Der Programmierer muss sich beim Erstellen des Programms nur um die Wichtigkeit der Meldungen Gedanken machen.
Die Filterung und Art der Ausgabe kann zur Laufzeit konfiguriert werden.

Java Naming and Directory Interface (JNDI) ist eine Programmierschnittstelle (API) innerhalb der Programmiersprache Java
Damit können Namensdienste und Verzeichnisdienste angesprochen werden.
Mit Hilfe dieser Schnittstelle können Daten und Objektreferenzen anhand eines Namens abgelegt werden.
Nutzern der Schnittstelle können diese abrufen.

Man kann nun in ein Formularfeld einen jndi url in Kombination mit einen ldap Server eingeben.
Jindi bewirkt das der Ldapserver einen Java-Code erzeugen kann.
Dieser wird dann zur einer Java-Class kompiliert.
Am Ende wird auf eine Url verwiesen wo die fertige Java-Class von einem Webserver runtergeladen werden kann.
Der angegriffene Server lädt diese runter und führt die Java-Class aus.
Das könnte beispielsweise eine Remote Shell sein.

@@ Zeile 27: / Zeile 27: @@
 =Proof of Concept=
+*Das Proof of Concept stellt einen LDAP und einen WebServer bereit.
+*Es wird Java Source Code erzeugt.
+*Dieser wird in Java Byte Code übersetzt.
+*Er steht dann als Java-Class bereit.
+*Er kann von dem Webserver runtergeladen werden
+=Installation=
 *git clone https://github.com/kozmer/log4j-shell-poc
 *cd log4j-shell-poc
 =Download und entpacken=
 *jdk-8u20-linux-x64.tar.gz