Script en bash que permite identificar y/o explotar la vulnerabilidad Log4shell de forma remota. Esta herramienta realiza distintas pruebas usando LDAP payloads y cabeceras X-Api-Version, User-Agent y X-Forwarded-For.
Siempre utilizar este script con autorización previa del propietario del servicio/aplicación auditada.
-
Descargar y descomprimir el siguiente fichero para iniciar el servidor LDAP y HTTP: http://tiny.cc/t0smuz
-
Tener Java instalado #sudo apt install default-jre
-
tener Curl instalado #sudo apt-get install curl
Ingresar los siguientes parámetros:
- Lista de URLs a escanear
- Dirección IP del servidor LDAP
- Puerto servidor LDAP
- Dirección IP servidor HTTP
- Puerto servidor HTTP
#Ejemplo escaneo de aplicación en red interna:
- ./Log4Shell_Scanner.sh <Diccionario_URL> <IP_Servidor_LDAP> <Puerto_Servidor_LDAP> <IP_Servidor_HTTP> <Puerto_Servidor_HTTP>
#Ejemplo escaneo de aplicación en internet:
- ./Log4Shell_Scanner.sh <Diccionario_URL> <IP_Servidor_LDAP> <Puerto_Servidor_LDAP> <IP_Servidor_HTTP> <Puerto_Servidor_HTTP>
- El payload utilizado envía un comando "ifconfig" a las máquinas identificadas como vulnerables, este payload esta codificado en Base64 y puede ser modificado para realizar la fase de explotación en una auditoría de pentesting.
- Si se desea utilizar la herramienta en servicios de internet se puede iniciar un servicio de Ngrok que haga un port forwarding al puerto local del Servidor LDAP
- Siempre utilizar este script con autorización previa del propietario del servicio/aplicación analizada.