Log4shell中被忽视的威胁：BurpSuite插件

log4shell可以说是这几天最火爆的漏洞，对于红队人员，算是过了个早年。不过此漏洞覆盖范围之广，也可能殃及你我。

这个漏洞已经爆出来好几天了，各大厂商都开始陆陆续续的修复，人们的目光仍然放在各种上层应用中，想着办法武器化。不过这个洞可能不只是蓝队人员的心头恨，也有可能反噬到隔岸观火的红队。

被忽视的威胁：BurpSuite 插件

BurpSuite大家都熟悉，其中插件开发最常用的语言就是Java了，其中笔者发现也有不少的插件使用到了存在缺陷的log4j2库，其中不乏一些高人气的库。我使用Github API编写了简易爬虫，去爬取了官方库和民间热门的库推荐项目:

•https://github.com/PortSwigger•https://github.com/snoopysecurity/awesome-burp-extensions

我通过简单的搜索项目中代码是否包含log4j，从而判断库是否存在威胁。结果如下：

项目名

Stars

bit4woo/domain_hunter_pro

818

nccgroup/LoggerPlusPlus

437

denimgroup/threadfix

339

h3xstream/burp-retire-js

196

NetSPI/Wsdler

177

GoSecure/csp-auditor

130

nccgroup/CollaboratorPlusPlus

107

vulnersCom/burp-Dirbuster

67

bit4woo/ReSign

49

tls-attacker/TLS-Attacker-BurpExtension

36

h3xstream/burp-image-metadata

14

CyRadarInc/crypto-messages-handler

3

PortSwigger/burp-teamcity-integration

0

其中不乏PortSwigger官方插件，不少都已经在BAPP中，甚至还有高人气的Logger++，请各位玩家小心菊花，注意自查。结果肯定难免会有一些遗漏误报，国内有很多插件甚至没有开源过，所以各位千万要注意~