2021.12.10,一个平平无奇的脱发日,突然老板来了消息。
工具发现
明鉴漏洞扫描系统
安恒明鉴漏扫产品第一时间已具备对该漏洞的扫描与检测能力,根据产品通知,将网站扫描策略升级至v1.3.582.534版本,开始做扫描任务。
1、新建策略模板,单独选择apache log4j 2远程代码执行扫描策略
2、新建扫描任务,选择对应策略模板并提交任务。
3、由于只针对这一个漏洞做应急扫描,任务很快执行完成,查看扫描结果,成功发现漏洞!
明鉴web应用弱点扫描器
将策略库版本升级至v6.1.117版本,即可具备apache log4j 2远程代码执行(cve-2021-44228)漏洞发现能力。
1、新建任务填写扫描目标。
2、选择自定义策略,勾选apache log4j远程代码执行(cve-2021-44228)扫描策略。
3、待任务执行完成后,查看扫描结果。依旧发现,从工具中导出报告交给领导就能交差了!
顺利完成任务,不过这个波及广泛的apache log4j2 远程代码执行漏洞到底是啥,作为小白有必要一探究竟。
环境搭建
服务器环境
操作系统:centos7.7
java环境:jdk1.8
centos7.7安装教程:
https://www.cnblogs.com/weihengblogs/p/13724167.html
java环境部署教程:
https://www.cnblogs.com/stulzq/p/9286878.html
漏洞环境获取
获取地址:
https://pan.baidu.com/s/12ftepsfnojjitglwnbl84w
提取码:r5pk
后台启用log4j2漏洞环境
访问环境
漏洞环境的web服务监听8082端口,param参数会调用log4j。这时请求一下该参数,确认环境是否正常。
http://x.x.x.x:8082/test?param=1
漏洞验证
通过dnslog.cn获取dnslog子域
构造payload
带入payload请求验证dns访问
查看dnslog回显
看到这个回显就证明漏洞存在了。如果没有工具借助,按此方法来也能够验证。但若想快速便捷地大批量进行验证,还是需要购买专业漏洞扫描类产品,毕竟下一个高危漏洞爆发咱也不知道好不好手工验证。