Theo dõi Top Thủ Thuật để cập nhật các Thủ Thuật mới nhất nhé!
Theo dõi
Top Thu Thuat
  • Thủ Thuật
    • Thủ Thuật Điện Thoại
    • Thủ Thuật Phần Mềm
    • Thủ Thuật internet
    • Thủ Thuật Tiện Ích
  • Network
  • Security
  • Công Nghệ
  • Kiến Thức
  • Ứng Dụng
  • Office
    • Học Word
    • Học Excel
    • Học Power Point
  • Game Offline
    • Code Game
    • Game Nhập Vai
    • Kinh Nghiệm Chơi Game
No Result
View All Result
Top Thủ Thuật
  • Thủ Thuật
    • Thủ Thuật Điện Thoại
    • Thủ Thuật Phần Mềm
    • Thủ Thuật internet
    • Thủ Thuật Tiện Ích
  • Network
  • Security
  • Công Nghệ
  • Kiến Thức
  • Ứng Dụng
  • Office
    • Học Word
    • Học Excel
    • Học Power Point
  • Game Offline
    • Code Game
    • Game Nhập Vai
    • Kinh Nghiệm Chơi Game
No Result
View All Result
Top Thủ Thuật
No Result
View All Result
Home Security

Log4j-scan: Tool scan tìm các trang web dính lỗi log4j

Funky Boy by Funky Boy
24 Tháng Tám, 2022
in Security
0 0
0
Log4j-scan: Tool scan tìm các trang web dính lỗi log4j
0
SHARES
0
VIEWS
Share on FacebookShare on Twitter
Rate this post

Trong bài này, mình sẽ hướng dẫn các bạn sử dụng công cụ Log4j-scan, tool scan hoàn toàn tự động và chính xác nhất để tìm các máy chủ dễ bị tấn công log4j.

Log4j-scan: Tool scan tìm các trang web dính lỗi log4j

Nội dung

  • Tính năng
  • Miêu tả
  • Cách sử dụng
  • Scan Website
  • Quét một URL duy nhất bằng tất cả các phương thức Request: GET, POST (form được mã hóa url), POST (body JSON)
  • Tìm bypass WAF.
  • Quét danh sách các URL
  • Cách cài đặt
  • Hỗ trợ Docker
  • Tuyên bố từ chối trách nhiệm

Tính năng

  • Hỗ trợ danh sách các URL.
  • Fuzzing cho hơn 60 request headers HTTP (không chỉ 3-4 headers như các công cụ đã thấy trước đây).
  • Fuzzing cho HTTP parameters POST Data.
  • Fuzzing cho các parameters JSON.
  • Hỗ trợ callback DNS để phát hiện và xác thực lỗ hổng bảo mật.
  • WAF bypass payloads.

Miêu tả

Tác giả đã nghiên cứu Log4J RCE (CVE-2021-44228) kể từ khi nó được phát hiện và đã làm việc để ngăn chặn lỗ hổng bảo mật này. Team đã phát triển một công cụ quét mã nguồn mở để phát hiện và và giúp các nhà phát triển vá lỗ hổng Log4J RCE CVE-2021-44228. Công cụ này sẽ được sử dụng bởi các nhóm bảo mật nhằm quét cơ sở hạ tầng của họ để tìm Log4J RCE và cũng kiểm tra các lượt bypass WAF có thể dẫn đến việc thực thi mã trên môi trường dự án.
Nó hỗ trợ callback DNS OOB ngay lập tức, không cần thiết lập máy chủ callback DNS.

Xem Thêm:  [DDOS] Torshammer - AnonyViet

Cách sử dụng

$ python3 log4j-scan.py -h
[•] CVE-2021-44228 - Apache Log4j RCE Scanner
[•] Scanner provided by FullHunt.io - The Next-Gen Attack Surface Management Platform.
[•] Secure your External Attack Surface with FullHunt.io.
usage: log4j-scan.py [-h] [-u URL] [-l USEDLIST] [--request-type REQUEST_TYPE] [--headers-file HEADERS_FILE] [--run-all-tests] [--exclude-user-agent-fuzzing]
                     [--wait-time WAIT_TIME] [--waf-bypass] [--dns-callback-provider DNS_CALLBACK_PROVIDER] [--custom-dns-callback-host CUSTOM_DNS_CALLBACK_HOST]

optional arguments:
  -h, --help            show this help message and exit
  -u URL, --url URL     Check a single URL.
  -p PROXY, --proxy PROXY
                        Send requests through proxy. proxy should be specified in the format supported by requests
                        (http[s]://<proxy-ip>:<proxy-port>)
  -l USEDLIST, --list USEDLIST
                        Check a list of URLs.
  --request-type REQUEST_TYPE
                        Request Type: (get, post) - [Default: get].
  --headers-file HEADERS_FILE
                        Headers fuzzing list - [default: headers.txt].
  --run-all-tests       Run all available tests on each URL.
  --exclude-user-agent-fuzzing
                        Exclude User-Agent header from fuzzing - useful to bypass weak checks on User-Agents.
  --wait-time WAIT_TIME
                        Wait time after all URLs are processed (in seconds) - [Default: 5].
  --waf-bypass          Extend scans with WAF bypass payloads.
  --test-CVE-2021-45046
                        Test using payloads for CVE-2021-45046 (detection payloads).
  --dns-callback-provider DNS_CALLBACK_PROVIDER
                        DNS Callback provider (Options: dnslog.cn, interact.sh) - [Default: interact.sh].
  --custom-dns-callback-host CUSTOM_DNS_CALLBACK_HOST
                        Custom DNS Callback Host.
  --disable-http-redirects
                        Disable HTTP redirects. Note: HTTP redirects are useful as it allows the payloads to have higher chance of reaching vulnerable systems.

Scan Website

$ python3 log4j-scan.py -u https://log4j.lab.secbot.local

Quét một URL duy nhất bằng tất cả các phương thức Request: GET, POST (form được mã hóa url), POST (body JSON)

$ python3 log4j-scan.py -u https://log4j.lab.secbot.local --run-all-tests

Tìm bypass WAF.

$ python3 log4j-scan.py -u https://log4j.lab.secbot.local --waf-bypass

Quét danh sách các URL

$ python3 log4j-scan.py -l urls.txt

Cách cài đặt

$ pip3 install -r requirements.txt

Hỗ trợ Docker

git clone https://github.com/fullhunt/log4j-scan.git
cd log4j-scan
sudo docker build -t log4j-scan .
sudo docker run -it --rm log4j-scan

# With URL list "urls.txt" in current directory
docker run -it --rm -v $PWD:/data log4j-scan -l /data/urls.txt

Tuyên bố từ chối trách nhiệm

Dự án này chỉ được thực hiện cho mục đích giáo dục và pentest. Việc sử dụng log4j-scan để tấn công các mục tiêu mà không có sự đồng ý trước của hai bên là bất hợp pháp. Bạn phải có trách nhiệm tuân theo tất cả các luật hiện hành của quốc gia đang sống. Các nhà phát triển và Anonyviet sẽ không chịu bất kỳ trách nhiệm pháp lý hoặc thiệt hại nào do bài viết hoặc tool gây ra.

Xem Thêm:  XSS Vulnerability - Top Thủ Thuật

Cảm ơn các bạn đã theo dõi TOP Thủ Thuật trên đây là những chia sẻ của chúng tôi về Log4j-scan: Tool scan tìm các trang web dính lỗi log4j. Hy vọng bài viết tại chuyên mục Security sẽ giúp ích được cho bạn. Trân trọng !!!

vote
Article Rating
ShareTweetPin
Funky Boy

Funky Boy

Tôi là Funky Boy luôn chia sẻ kiến thức về tất cả những gì liên quan đến công nghệ, như sử dụng máy tính, sử dụng điện thoại, thủ thuật để sử dụng Internet một cách hiệu quả nhất...giúp bạn có được những trải nghiệm mới thú vị và đạt được hiệu quả cao trong công việc

BÀI VIẾT LIÊN QUAN

Cách tạo Ransomware bằng Python
Security

Cách tạo Ransomware bằng Python

by Funky Boy
24 Tháng Tám, 2022
Vortimo: Extension giúp bạn truy vết thông tin trên Internet
Security

Vortimo: Extension giúp bạn truy vết thông tin trên Internet

by Funky Boy
24 Tháng Tám, 2022
Ransomware là gì? – AnonyViet
Security

Ransomware là gì? – AnonyViet

by Funky Boy
24 Tháng Tám, 2022
Hướng dẫn Hack 4G Viettel vô hạn dung lượng mới nhất
Security

Hướng dẫn Hack 4G Viettel vô hạn dung lượng mới nhất

by Funky Boy
24 Tháng Tám, 2022
Danh sách các Room Free trên Tryhackme để tập Hack
Security

Danh sách các Room Free trên Tryhackme để tập Hack

by Funky Boy
24 Tháng Tám, 2022
Cách Stress Test Website bằng cách tấn công HTTP Flood
Security

Cách Stress Test Website bằng cách tấn công HTTP Flood

by Funky Boy
24 Tháng Tám, 2022
Next Post
Photoshop CS6 Portable Không Cần Cài Đặt Full 32bit + 64bit

Photoshop CS6 Portable Không Cần Cài Đặt Full 32bit + 64bit

Subscribe
Connect with
I allow to create an account
When you login first time using a Social Login button, we collect your account public profile information shared by Social Login provider, based on your privacy settings. We also get your email address to automatically create an account for you in our website. Once your account is created, you'll be logged-in to this account.
DisagreeAgree
Notify of
guest
I allow to create an account
When you login first time using a Social Login button, we collect your account public profile information shared by Social Login provider, based on your privacy settings. We also get your email address to automatically create an account for you in our website. Once your account is created, you'll be logged-in to this account.
DisagreeAgree
guest
0 Comments
Inline Feedbacks
View all comments

Có thể bạn sẽ cần

Native app là gì? Những ưu nhược điểm nổi bật của Native app
Công Nghệ

Native app là gì? Những ưu nhược điểm nổi bật của Native app

by Funky Boy
30 Tháng Mười Một, 2022
0

Native app là gì được xem là câu hỏi được rất nhiều người quan tâm hiện nay khi tìm hiểu...

Read more

Đề xuất cho bạn

Native app là gì? Những ưu nhược điểm nổi bật của Native app

Native app là gì? Những ưu nhược điểm nổi bật của Native app

30 Tháng Mười Một, 2022
Cách Kiếm Tiền Online Cho Mẹ Bỉm Sữa Uy Tín Và Ổn Định

Cách Kiếm Tiền Online Cho Mẹ Bỉm Sữa Uy Tín Và Ổn Định

23 Tháng Mười Hai, 2022
Cách tạo Chữ ngược, chữ nghiêng, gạch dưới để đặt tên, chat

Cách tạo Chữ ngược, chữ nghiêng, gạch dưới để đặt tên, chat

8 Tháng Chín, 2022
Tạo Phòng học ảo trên Zoom bằng Immersive View

Tạo Phòng học ảo trên Zoom bằng Immersive View

8 Tháng Chín, 2022
Các lệnh nguy hiểm nhất trên Windows bạn không nên dùng

Các lệnh nguy hiểm nhất trên Windows bạn không nên dùng

8 Tháng Chín, 2022
Cách tăng FPS trong game trên Laptop

Cách tăng FPS trong game trên Laptop

8 Tháng Chín, 2022

TOP THỦ THUẬT

Top Thủ Thuật – Chia Sẻ Kiến Thức Công Nghê, Máy Tính, Phần Mềm

✩ jun88

✩ hi88

✩ SHBET

✩ May 88

✩ Sunc888

✩ Nhà cái 7ball

ĐỐI TÁC

✩ Nhà Cái THABET

✩ S666

✩ https://iwin68.ltd/

✩ dubai casino

✩ IWIN

✩ Happyluke

LIÊN KẾT

✩ QH88

✩ FAFA191

✩ Top game bài đổi thưởng 

✩ Hi88

✩ SV368

✩ Moto88

Thông tin liên hệ

• 247 Hàm Nghi, Mỹ Đình, Nam Từ Liêm, Hà Nội

• Email: [email protected]

• Mobile: 0878310247

• Website: https://topthuthuat.com.vn/

✩ Fi88

✩ Hi88bet

✩ Bong da lu

  • Giới Thiệu
  • Liên Hệ
  • Chính Sách
  • Game Bài đổi thưởng
  • 168bet
  • BK8
  • TWIN

© 2021 Top Thủ Thuật - Tải game Offline miễn phí

No Result
View All Result
  • Thủ Thuật
    • Thủ Thuật Điện Thoại
    • Thủ Thuật Phần Mềm
    • Thủ Thuật internet
    • Thủ Thuật Tiện Ích
  • Network
  • Security
  • Công Nghệ
  • Kiến Thức
  • Ứng Dụng
  • Office
    • Học Word
    • Học Excel
    • Học Power Point
  • Game Offline
    • Code Game
    • Game Nhập Vai
    • Kinh Nghiệm Chơi Game

© 2021 Top Thủ Thuật - Tải game Offline miễn phí

Welcome Back!

Login to your account below

Forgotten Password?

Create New Account!

Fill the forms bellow to register

All fields are required. Log In

Retrieve your password

Please enter your username or email address to reset your password.

Log In
wpDiscuz
0
0
Would love your thoughts, please comment.x
()
x
| Reply