log4shell可以说是这几天最火爆的漏洞,对于红队人员,算是过了个早年。不过此漏洞覆盖范围之广,也可能殃及你我。
这个漏洞已经爆出来好几天了,各大厂商都开始陆陆续续的修复,人们的目光仍然放在各种上层应用中,想着办法武器化。不过这个洞可能不只是蓝队人员的心头恨,也有可能反噬到隔岸观火的红队。
被忽视的威胁:BurpSuite 插件
BurpSuite大家都熟悉,其中插件开发最常用的语言就是Java了,其中笔者发现也有不少的插件使用到了存在缺陷的log4j2库,其中不乏一些高人气的库。我使用Github API编写了简易爬虫,去爬取了官方库和民间热门的库推荐项目:
•https://github.com/PortSwigger•https://github.com/snoopysecurity/awesome-burp-extensions
我通过简单的搜索项目中代码是否包含log4j,从而判断库是否存在威胁。结果如下:
| 项目名 | Stars |
| bit4woo/domain_hunter_pro | 818 |
| nccgroup/LoggerPlusPlus | 437 |
| denimgroup/threadfix | 339 |
| h3xstream/burp-retire-js | 196 |
| NetSPI/Wsdler | 177 |
| GoSecure/csp-auditor | 130 |
| nccgroup/CollaboratorPlusPlus | 107 |
| vulnersCom/burp-Dirbuster | 67 |
| bit4woo/ReSign | 49 |
| tls-attacker/TLS-Attacker-BurpExtension | 36 |
| h3xstream/burp-image-metadata | 14 |
| CyRadarInc/crypto-messages-handler | 3 |
| PortSwigger/burp-teamcity-integration | 0 |
其中不乏PortSwigger官方插件,不少都已经在BAPP中,甚至还有高人气的Logger++,请各位玩家小心菊花,注意自查。结果肯定难免会有一些遗漏误报,国内有很多插件甚至没有开源过,所以各位千万要注意~
原文始发于微信公众号(分类乐色桶):Log4shell中被忽视的威胁:BurpSuite插件
