首页 文章 精选 留言 我的

360CERT 发布 Log4j2 恶意荷载批量检测调查工具

2021-12-15 702

报告编号:B6-2021-121502

报告来源:360CERT

报告作者:360CERT

更新日期:2021-12-15

简介

近日,Log4j2漏洞在互联网上呈现爆发性的攻击利用态势,黑客通过发送一条JNDI字符串荷载即可控制目标设备。据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统,安全人员针对此类漏洞攻击情况的调查分析取证需要付出极大的精力。为此,360CERT根据实战攻防经验,特别为业界的安全人员研发了一款Log4j2恶意荷载分析工具,希望能够帮助安全人员减轻负担,提升调查响应效率!

命令行工具批量下载ldap字符串荷载包含的远程恶意class文件,class文件可进行进一步的分析调查取证。

目前只支持 ldap 链接的 class 下载,会下载到payloads/{host}/{uuid}.class

http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-darwin-amd64
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-linux-386
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-linux-amd64
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-windows-386.exe
http://pub-shbt.s3.360.cn/cert-public-file/log4j-dl-windows-amd64.exe

文件 md5

b0e20c5bf4a8e027cfb6e6ca85fd82fc  log4j-dl-darwin-amd64
0ad55c116bfd75ee33f99830d153e874  log4j-dl-linux-386
3f56dbdbd7c9840481dae17667d5acd5  log4j-dl-linux-amd64
28b881491ed0487b0d64c908a600a350  log4j-dl-windows-386.exe
466d70eea544a8e0212adb0d7a3ab212  log4j-dl-windows-amd64.exe

使用

以 linux x64 为例

log4j-dl-linux-amd64 -t "ldap://127.0.0.1:233/Basic/ReverseShell/127.0.0.1/9999"

log4j-dl-linux-amd64 -f 1.txt

# 文件内容
cat 1.txt
ldap://127.0.0.1:233/Basic/ReverseShell/127.0.0.1/9999
ldap://127.0.0.1:234/1195197842/asd

完整演示

./log4j-dl-linux-amd64 -t "ldap://192.168.55.102:10001/Exp"
  ____      __     ___     _____   ______   _____    _______
 |___ \    / /    / _ \   / ____| |  ____| |  __ \  |__   __|
   __) |  / /_   | | | | | |      | |__    | |__) |    | |
  |__ <  | '_ \  | | | | | |      |  __|   |  _  /     | |
  ___) | | (_) | | |_| | | |____  | |____  | | \ \     | |
 |____/   \___/   \___/   \_____| |______| |_|  \_\    |_|
http://192.168.55.102:10000/Exp.class
2021/12/15 18:23:40 dump 'a72986b3-aa43-42a2-841b-7b25e2e40140.class'

javap -c ./payloads/192.168.55.102/a72986b3-aa43-42a2-841b-7b25e2e40140.class
Compiled from "Exp.java"
public class Exp {
  public Exp();
    Code:
       0: aload_0
       1: invokespecial #1                  // Method java/lang/Object."<init>":()V
       4: return

  static {};
    Code:
       0: iconst_3
       1: anewarray     #2                  // class java/lang/String
       4: dup
       5: iconst_0
       6: ldc           #3                  // String bash
       8: aastore
       9: dup
      10: iconst_1
      11: ldc           #4                  // String -c
      13: aastore
      14: dup
      15: iconst_2
      16: ldc           #5                  // String gnome-calculator
      18: aastore
      19: astore_0
      20: invokestatic  #6                  // Method java/lang/Runtime.getRuntime:()Ljava/lang/Runtime;
      23: aload_0
      24: invokevirtual #7                  // Method java/lang/Runtime.exec:([Ljava/lang/String;)Ljava/lang/Process;
      27: invokevirtual #8                  // Method java/lang/Process.waitFor:()I
      30: pop
      31: goto          39
      34: astore_0
      35: aload_0
      36: invokevirtual #10                 // Method java/lang/Exception.printStackTrace:()V
      39: return
    Exception table:
       from    to  target type
           0    31    34   Class java/lang/Exception
}

可以完整的看到该恶意 Class 在通过java.lang.Runtime.exec执行gnome-calculator

演示地址:

https://asciinema.org/a/mkcOuClRBpKwDStjx48pxknKb

 

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://www.oschina.net/news/173892

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

鸿蒙轻内核源码分析:MMU协处理器

摘要:本系列首先了解下ARM CP15协处理器的知识,接着介绍下协处理器相关的汇编指令,最后分析下MMU相关汇编代码。 本文分享自华为云社区《鸿蒙轻内核A核源码分析系列六 MMU协处理器》,作者:zhushy。 1、 ARM C15 协处理器 在ARM嵌入式应用系统中, 很多系统控制由ARM CP15协处理器来完成的。CP15协处理器包含编号0-15的16个32位的寄存器。例如,ARM处理器使用C15协处理器的寄存器来控制cache、TCM(Tightly-Coupled Memory)和存储器管理。CP15的各个寄存器的概要信息如下图,图片来自官方资料《ARM® Cortex™-A Series Version: 4.0 Programmer’s Guide》。 在这些C15寄存器中和MMU关系较大的有C2、C7、C17寄存器,这些寄存器的作用,从上图可以看出,分别是: CP15 C2寄存器 Memory protection and control registers,内存保护和控制寄存器,包含Translation Table Base Register 0 (TTBR0)、Tr...
2021-12-15
522
上一篇

Chrome V8 引擎存在代码执行漏洞

赶紧点击上方话题进行订阅吧! 报告编号:B6-2021-121401 报告来源:360CERT 报告作者:360CERT 更新日期:2021-12-14 1 漏洞简述 2021年12月14日,360CERT监测发现Google发布了安全更新,漏洞编号为CVE-2021-4102,漏洞等级:高危,漏洞评分:8.5,该漏洞已存在在野利用。 Google Chrome是由Google开发的一款设计简单、高效的Web浏览工具,特点是简洁、快速。GoogleChrome支持多标签浏览,每个标签页面都在独立的“沙箱”内运行,在提高安全性的同时,一个标签页面的崩溃也不会导致其他标签页面被关闭。此外,Google Chrome基于更强大的JavaScript V8引擎,这是当前Web浏览器所无法实现的。 对此,360CERT建议广大用户及时将Google Chrome升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 2 风险等级 360CERT对该漏洞的评定结果如下 评定方式 等级 威胁等级 高危 影响面 广泛 攻击者价值 高 利用难度 低 360CERT评分 8.5 3 漏洞...
2021-12-15
520
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2025-12-12 大小: 211.28KB 下载: 54次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2025-12-17 大小: 1MB 下载: 2次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
SpringCloud HarmonyOS6 Redis Nacos3 Jdk25 Docker Service Mesh OpenAi Gemini3 Rocky SpringBoot4 Kubernetes DeepSeek

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273