log4j2 burp插件-log4j2burpscanner(一)

已于 2024-03-14 21:44:17 修改
阅读量2.6k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # burp插件 文章标签: log4j burp 插件
于 2023-08-24 11:15:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/132469946
文章介绍了一个名为log4j2burpscanner的插件,用于检测CVE-2021-44228漏洞,通过发送特定payload利用不同HTTP方法获取DNS记录。插件支持多种请求格式,并提供使用repeater功能的测试说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CVE-2021-44228 Log4j2 BurpSuite 扫描器

1、项目地址

https://github.com/f0ng/log4j2burpscanner
在这里插入图片描述

2、log4j2burpscanner

CVE-2021-44228,log4j2 burp插件 Java版本,dnslog选取了非dnslog.cn域名 效果如下:

靶场的 (靶场比较慢,但是互联网资产是没问题的,原因应该在于靶场对于其他请求头的处理不好,或者请求头过大,导致靶场反应较慢,多等等即可)
在这里插入图片描述
在这里插入图片描述
试了两个SRC的站点
在这里插入图片描述
加载后,会给出一个url,访问就可以查看dns的记录,当然,插件本身自带检查dns记录,这里只起后续方便查看的作用
在这里插入图片描述

3、特点如下:

0x01 基于Cookie字段、XFF头字段、UA头字段发送payload
0x02 基于域名的唯一性,将host带入dnslog中

插件主要识别七种形式:

1.get请求,a=1&b=2&c=3

2.post请求,a=1&b=2&c=3

3.post请求,{“a”:”1”,”b”:”22222”}

4.post请求,a=1&param={“a”:”1”,”b”:”22222”}

5.post请求,{"params":{"a":"1","b":"22222"}}

6.post请求,body={"a":"1","b":"22222"}

7.post请求,body={"params":{"a":"1","b":"22222"}}

4、注:

如果需要在repeater里进行测试

需要打开dashbord→Live passive crawl from Proxy and Repeater→勾选repeater

需要打开dashbord→Live audit from Proxy and Repeater→勾选repeater
在这里插入图片描述
在这里插入图片描述

Log4j2 漏洞检测工具清单
01-17 1万+
距离Log4j2漏洞公开已经过去个月了,它所造成的严重影响已经不需要我们重复提及了。随着时间的推移,新的漏洞会不断出现,旧的漏洞会不断消失,而这个Log4j2中的RCE漏洞可能需要好几年...
Log4j2、Fastjson、Log4jBurpSuite插件亲测有效
06-07
Log4j2、Fastjson、Log4jBurpSuite插件亲测有效,非常好用老版的BurpSuite和新版的都可以使用。祝大家挖洞顺利(工具仅用于学习交流)
Log4j2Scanner
02-23
Log4j2-Scan
burp插件分享1
m0_55772907的博客
10-25 5040
burpsuite插件
《漏洞研究》Apache Log4j2 远程代码执行漏洞
1
11-04 2090
Apache Log4j2 组件存在远程代码执行漏洞(CVE-2021-44228),该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。
log4j2 burp插件-Log4j2Scan()
SuperherRo的博客
03-14 4271
该工具为被动扫描Log4j2漏洞`CVE-2021-44228`的BurpSuite插件,具有多DNSLog(后端)平台支持,支持异步并发检测、内网检测、延迟检测等功能。
Log4j2 burp检测插件,基于python.zip
最新发布
08-23
总体而言,Log4j2-RCE-burp-plugin是网络安全领域内款重要的工具,它不仅提高了漏洞检测的效率,还帮助提升了整体的网络安全水平。对于维护网络应用的安全性,这款插件无疑成为了安全工具箱中不可或缺的部分。
burp插件-J2EEScan-1.2.5
05-30
编译好的burp插件,J2EEScan-1.2.5,包含依赖库,可直接导入burp使用
Burp Suite-APIKit插件
03-02
Burp Suite 插件大全
log4j2漏洞复现(CVE-2021-44228)
lionwerson的博客
12-29 3691
log4j2漏洞复现(CVE-2021-44228) 漏洞简介: log4j是Apache公司的款JAVA日志框架,基本上只要是java的框架都会用到这个log4j框架,所以上周不管是不是IT圈的都几乎被刷屏了,可见这个洞的危害之大,波及范围之广。所以复现下。 影响版本: Apache Log4j 2.x >=2.0-beta9 且 < 2.15.0 复现环境1: 1.log4shell-vulnerable-app环境: docker run --name vulnerable-a
推荐开源项目:Log4j2BurpScanner - 扫描 Log4j2 漏洞的利器
gitblog_00044的博客
04-12 575
推荐开源项目:Log4j2BurpScanner - 扫描 Log4j2 漏洞的利器 在网络安全领域,Java日志库Log4j2的安全漏洞(CVE-2021-44228)曾引发了场全球性的安全风波。Log4j2BurpScanner个由GitHub用户f0ng开发的开源工具,它旨在帮助安全专家和开发者检测他们的网络服务是否受到这漏洞的影响。 项目简介 Log4j2BurpScanner是基...
探索log4j漏洞的安全防线:log4jScan Burp插件深度剖析
gitblog_00035的博客
06-01 577
探索log4j漏洞的安全防线:log4jScan Burp插件深度剖析 在当今网络安全领域,log4j漏洞无疑是个令人谈之色变的话题,它影响深远且潜在威胁巨大。为了帮助企业迅速响应并有效防范这风险,款名为log4jScan的Burp Suite插件应运而生,成为安全工程师手中的利器。 项目介绍 log4jScan,专为快速检测log4j JNDI(Java命名和目录接口)漏洞设计,是每个安全...
探索Log4j2内网扫描工具:安全防护的新利器
gitblog_00071的博客
04-22 637
探索Log4j2内网扫描工具:安全防护的新利器 去发现同类优质开源项目:https://gitcode.com/ 在最近的安全事件中,Apache Log4j2的远程代码执行漏洞(CVE-2021-44228)引起了广泛的关注。为了解决这个问题,开发者创建了个名为log4j2-intranet-scan的工具,旨在帮助系统管理员和网络安全专家快速检测内网中的Log4j2漏洞。 项目简介 log4...
利用CodeSec代码审核平台深度扫描Log4j2漏洞
技术杂谈
02-09 1002
Log4j2 安全漏洞(编号 CVE-2021-44228)事件已经过去个多月了,但它造成的危害影响却非常严重,各大软件安全厂商在第时间针对此漏洞紧急做了补丁。 虽然漏洞最早是由阿里发现的,但实际上它是个0day漏洞,这就意味着早在国内发现它之前,国外可能利用该漏洞已经有段时间了。 Log4j2 漏洞也许早就被发现了 想发现这个安全漏洞其实并不难,使用常规的挖洞工具、SAST(静态应用安全测试)工具、SCA(软件成分分析)工具都能挖掘出来,但为什么直没有引起重视或暴露出来呢? 事实上,可能很多 h
工具分享 | log4j2Scan- 款用来快速扫描log4j2 jndi漏洞的burp插件,键getshell。多个SRC挖掘大佬都在使用的
IT软件汇
09-11 557
工具分享 | log4j2Scan- 款用来快速扫描log4j2 jndi漏洞的burp插件,键getshell。多个SRC挖掘大佬都在使用的
新鲜出炉的,针对Log4j核弹级漏洞的扫描工具
一个爱上护士的猿
12-16 4373
背景 近日,网络上出现 Apache Log4j2 远程代码执行漏洞。攻击者可利用该漏洞构造特殊的数据请求包,最终触发远程代码执行。由于该漏洞影响范围极广,建议广大用户及时排查相关漏洞,经过白帽汇安全研究院分析确认,目前市面有多款流行的系统都受影响。 log4j作为众多软件广泛引入的类库,漏洞影响范围太大了,据说各大厂程序员半夜被叫起来加班加点修复。 漏洞描述 Apache Log4j2个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务
【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具
YDclub的博客
12-14 3762
Apache Log4j-2中存在JNDI注入漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
Log4j2 漏洞实战案例
02-16 5599
在现在以及未来的段时间里,Log4j2 漏洞依然是渗透和排查的重点。在测试靶场里复现多次,在实战中遇到还是十分兴奋,So,总得记录点什么吧。01、漏洞发现通过burp插件的方式,将Log...
Apache Log4j2 RCE漏洞复现(CVE-2021-44228)
SuperherRo的博客
10-31 924
Apache Log4j2个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。 在大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。攻击者利用此特性可通过 该漏洞构造特殊的数据请求包,最终触发远程代码执行。
log4j2burpscanner如何配置
09-07
配置log4j2burpscanner需要创建log4j2.xml配置文件,定义个Appender用于将日志记录到文件中,设置布局,定义Logger和Filter,配置BurpScanner的相关信息,并在应用程序中使用log4j2的API进行日志记录。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值