log4shell可以说是这几天最火爆的漏洞,对于红队人员,算是过了个早年。不过此漏洞覆盖范围之广,也可能殃及你我。
这个漏洞已经爆出来好几天了,各大厂商都开始陆陆续续的修复,人们的目光仍然放在各种上层应用中,想着办法武器化。不过这个洞可能不只是蓝队人员的心头恨,也有可能反噬到隔岸观火的红队。
BurpSuite大家都熟悉,其中插件开发最常用的语言就是Java了,其中笔者发现也有不少的插件使用到了存在缺陷的log4j2库,其中不乏一些高人气的库。我使用Github API编写了简易爬虫,去爬取了官方库和民间热门的库推荐项目:
•https://github.com/PortSwigger•https://github.com/snoopysecurity/awesome-burp-extensions
我通过简单的搜索项目中代码是否包含log4j,从而判断库是否存在威胁。结果如下:
项目名
Stars
bit4woo/domain_hunter_pro
818
nccgroup/LoggerPlusPlus
437
denimgroup/threadfix
339
h3xstream/burp-retire-js
196
NetSPI/Wsdler
177
GoSecure/csp-auditor
130
nccgroup/CollaboratorPlusPlus
107
vulnersCom/burp-Dirbuster
67
bit4woo/ReSign
49
tls-attacker/TLS-Attacker-BurpExtension
36
h3xstream/burp-image-metadata
14
CyRadarInc/crypto-messages-handler
3
PortSwigger/burp-teamcity-integration
0
其中不乏PortSwigger官方插件,不少都已经在BAPP中,甚至还有高人气的Logger++,请各位玩家小心菊花,注意自查。结果肯定难免会有一些遗漏误报,国内有很多插件甚至没有开源过,所以各位千万要注意~
