其实这篇文章在之前就应该写完了,Log4j2(CVE-2021-44228)漏洞爆发到现在已经一年半了,奈何没有时间、精力去思考在内网环境下如何发现漏洞;过年那段时间看到了一个监听各类协议的项目,参考项目实现了监听端的部分功能,增加了批量端口监听;直到最近在不停地优化,勉强能用,顺便学习了一下go语言编程。
0x01 背景
Log4j2(CVE-2021-44228)漏洞在公网上的暴露面已经不多了,而更多的安全人员把该漏洞的利用方向瞄准在了内网,特别是黑盒环境中(白盒可以看相应的依赖版本),一些不出外网的内网应用上,但是在内网去探测三种协议(ldap、rmi、dns)没有好的方法,ldap、rmi目前没有监听工具方便查看结果;dns比较繁琐,需要在内网进行一系列的配置,如配置dns服务器等,这就导致了没有公开的方法去探测内网的Log4j2漏洞,在这里记录一下。
漏洞扫描端出自笔者的log4j2burpscanner,监听端出自笔者的selistener
0x02 selistener工具介绍
0x001 介绍
selistener,全称为(server listener),像服务器一样监听端口,为方便取名,直接取了selistener为名
0x002 优点
简单点来说,优点如下:
-
批量端口监听,支持多种协议 -
直观的响应结果呈现形式
0x003 用法
-ps , ports start 端口组监听,开始
-pe , ports end 端口组监听,结束
-pn ,port ,exp:22,3306,8443 指定端口监听
-wp ,wport ,exp: 65535 指定端口运行http服务查看结果
-t, token, exp: f0ng 指定token
由于工具基于cgo,目前还没找到好的办法,所以linux需要安装musl-tools/musl-libc-static才能运行,windows可以直接运行
0x004 示例
1. 场景一
在Log4j2(CVE-2021-44228)利用下,如果防火墙做了端口的限制,一般JNDIExpliot的1389等ldap的端口会禁止,那么可以使用该工具进行批量端口监听,然后在数据包内设置端口号为变量,查看端口通信接收情况(ldap),举例ldap监听情况(rmi同理):
2. 场景二
在windows系统无法上传文件情况下,需要进行文件下载,如certutil落地文件、powershell上线等等,会遇到某些端口无法出网,可以将certuil探测的端口设置为变量,使用本工具进行监听,如下
3. 场景三
在进行反弹shell的时候,有时会禁止一些目的端口访问,可以通过使用该工具进行批量端口监听,查看端口通信接收情况(socket)。
4. 额外场景
还可以在公网上收集payload等等,起到小蜜罐作用,感觉可以完善相应的指纹做到更全面(虽然现在的扫描器都是根据指纹来扫的,但是也有很多随意打的),如下
如果后续有新的漏洞需要内网监听,也可以使用该工具进行组合利用
0x03 联动效果
0x001 工具搭建及配置
使用selistener搭建内网监听服务
./selistener -t onlysecurity (-pn 9999)
不加-pn参数则监听常用端口组
在log4j2burpscanner下设置搭建的selistener记录地址、响应查看地址
10.211.55.2:9999/%20{HOSTURI}
http://10.211.55.2:65535/resp?token=onlysecurity&words={HOSTURI}
这里要注意,设置的协议为ldap://(或者rmi://)
0x002 工具扫描
-
被动扫描 在漏洞点进行被动扫描
插件页面
-
主动扫描 在漏洞点进行主动扫描
插件页面
可以看到很精准扫到了漏洞,web页面如下
页面也是采用类似dnslog的形式,查看起来还算方便
0x04 总结
-
有目标一定要去实现,立的flag也要去完成 -
从底层出发,能解决更多的疑问,如这里直接通过字节去监听流量从而判断协议类型
0x05 引用
https://github.com/fuzz7j/JNDIServer 【工具雏形参考】
https://github.com/f0ng/selistener 【监听项目】
https://github.com/f0ng/log4j2burpscanner 【log4j2-burp扫描插件】
原文始发于微信公众号(only security):内网下(CVE-2021-44228)漏洞的检测及其延伸
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论