, Log4j, log4j-scan ** log4j-scan: công cụ tự động và chính xác nhất để quét các máy chủ log4j dễ bị tổn thương **
** Tham gia kênh Telegram của thủ thuật
**Những bài viết liên quan**
* [Các công cụ quét bảo mật tốt nhất] (https://tricksmmo.com/the-best-security-scanning-tools/)
* [Cách quét tự động XSS bằng Dalfox] (https://tricksmmo.com/how-to-scan-eutomatically-xss-with-dalfox/)
* [Cách quét các lỗ hổng bảo mật bằng metasploit] (https://tricksmmo.com/how-to-scan-security-hole-with-metasploit/)
* [Bản demo cách khai thác lỗ Follina của Microsoft Word] (https://tricksmmo.com/demo-how-to- exploit-the-follina-hole-of-microsoft-word/)
**Tính năng**
* Hỗ trợ danh sách các URL.
* Fuzzing cho hơn 60 yêu cầu HTTP (không chỉ các tiêu đề 3-4 như đã thấy trước đây).
* Fuzzing cho các tham số HTTP đăng dữ liệu.
* Fuzzing cho các tham số JSON.
* Hỗ trợ DNS gọi lại để phát hiện và xác minh các lỗ hổng bảo mật.
* WAF Bypass Payloaps.
**Mô tả**
Tác giả đã nghiên cứu Log4J RCE (CVE-2021-44228) kể từ khi nó được phát hiện và làm việc để ngăn chặn lỗ hổng bảo mật này.Nhóm nghiên cứu đã phát triển một công cụ quét nguồn mở để phát hiện và giúp các nhà phát triển vá Log4J RCE-2021-44228.Công cụ này sẽ được sử dụng bởi các nhóm bảo mật để quét cơ sở hạ tầng của họ để tìm log4j rce và cũng kiểm tra các lượt WAF bỏ qua có thể dẫn đến thực thi mã trên môi trường dự án.
Nó hỗ trợ Callback DNS OOB ngay lập tức, không cần thiết lập máy chủ gọi lại DNS.
** Sử dụng **
`` `
$ python3 log4j -scan.py -h
[•] CVE-2021-44228-APACHE LOG4J RCE
[•] Máy quét được cung cấp bởi FullHunt.IO - Nền tảng quản lý bề mặt tấn công tiếp theo.
[•] Bảo vệ bề mặt tấn công bên ngoài của bạn với Fullhunt.io.
Cách sử dụng: log4j-scan.py [-u url] [-l Danh sách sử dụng] [--Request-type request_type] [-fuzzing]
.
Đối số tùy chọn:
-H, --Lelp hiển thị thông báo trợ giúp này
-U url, --url url kiểm tra một url duy nhất.
-P proxy, -proxy proxy
Gửi các yêu cầu thông qua proxy.proxy phải được cụ thể ở định dạng được hỗ trợ bởi các yêu cầu
.
-Ludlist, -danh sách sử dụng danh sách
Kiểm tra một danh sách các URL.
-Yêu cầu loại hình_type
Loại yêu cầu: (Nhận, Bài viết) - [Mặc định: Nhận].
-Tiêu đề tiêu đề_file
Tiêu đề danh sách fuzzing - [Mặc định: Tiêu đề.txt].
-Run-lel-tests chạy tất cả các thử nghiệm có sẵn trên mỗi URL.
--Exclude -Us-agent-fuzzing
Loại trừ tiêu đề tác nhân người dùng
-Giờ thời gian là
Thời gian chờ sau khi tất cả các URL được xử lý (tính bằng giây) - [Mặc định: 5].
.
-TEST-2021-45046
Kiểm tra sử dụng tải trọng cho CVE-2021-45046 (tải trọng phát hiện).
=======================================
, Log4j, log4j-scan **Log4J-Scan: The most automatic and accurate tool to scan for vulnerable Log4J servers**
**Join the Telegram channel of Tricksmmo
Link 
Telegram – a new era of messaging
**Related Articles**
* [The best security scanning tools](https://tricksmmo.com/the-best-security-scanning-tools/)
* [How to scan automatically XSS with Dalfox](https://tricksmmo.com/how-to-scan-automatically-xss-with-dalfox/)
* [How to scan security holes with metasploit](https://tricksmmo.com/how-to-scan-security-holes-with-metasploit/)
* [Demo how to exploit the follina hole of Microsoft Word](https://tricksmmo.com/demo-how-to-exploit-the-follina-hole-of-microsoft-word/)
**Feature**
* Supports the list of URLs.
* Fuzzing for more than 60 HTTP requests (not only 3-4 headers as previously seen).
* Fuzzing for HTTP parameters Post Data.
* Fuzzing for Parameters JSON.
* Supports Callback DNS to detect and verify security holes.
* WAF BYPASS PAYLOAPS.
**Describe**
The author has studied Log4J RCE (CVE-2021-44228) since it was discovered and worked to prevent this security hole. The team developed an open source scanning tool to detect and help developers to patch the Log4J RCE-2021-44228. This tool will be used by security groups to scan their infrastructure to find Log4J RCE and also check the BYPASS WAF turns that can lead to code execution on the project environment.
It supports Callback DNS OOB immediately, no need to set the DNS Callback server.
**Using**
```
$ python3 log4j-scan.py -h
[•] CVE-2021-44228-Apache Log4J Rce Scanner
[•] Scanner provided by fullhunt.io - The Next -Gen Attack Surface Management Platform.
[•] Secure Your External Attack Surface with fullhunt.io.
Usage: log4j-scan.py [-u url] [-l usedlist] [--Request-type request_type] [--headers-file headers_file] [--Run -L-tests] [--exclude-user-agent-fuzzing]
[--wait-time wait_time] [--waf-sipass] [--dns-callback-Provider DNS_Callback_Provider] [--Custom-DNS-Callback-Host Custom_dns_Callback_Host]
Optional Arguments:
-H, - -HELP Show this Help Message and Exit
-U URL, --url URL check a single URL.
-P proxy, --proxy proxy
Send Requests Through Proxy.Proxy should be specific in the format supported by requests
(: // <proxy-ip>: <proxy -port>)
-LUDLIST, --list usedlist
Check a list of urls.
--Request-Type Request_type
Request type: (Get, Post) - [Default: Get].
--headers-file headers_file
Headers Fuzzing List - [Default: Headers.txt].
-Run-LEL-TESTS Run All Available Tests on each URL.
--exclude -us-agent-fuzzing
Exclude user-agent header
--wait-time are
Wait Time After All URLS are processed (In Seconds) - [Default: 5].
--WAF-BYPASS Extend Scans with Waf BYPASS PAYLOAPS.
--Test-2021-45046
Test using Payloads for CVE-2021-45046 (Detection Payloads).
** Tham gia kênh Telegram của thủ thuật
**Những bài viết liên quan**
* [Các công cụ quét bảo mật tốt nhất] (https://tricksmmo.com/the-best-security-scanning-tools/)
* [Cách quét tự động XSS bằng Dalfox] (https://tricksmmo.com/how-to-scan-eutomatically-xss-with-dalfox/)
* [Cách quét các lỗ hổng bảo mật bằng metasploit] (https://tricksmmo.com/how-to-scan-security-hole-with-metasploit/)
* [Bản demo cách khai thác lỗ Follina của Microsoft Word] (https://tricksmmo.com/demo-how-to- exploit-the-follina-hole-of-microsoft-word/)
**Tính năng**
* Hỗ trợ danh sách các URL.
* Fuzzing cho hơn 60 yêu cầu HTTP (không chỉ các tiêu đề 3-4 như đã thấy trước đây).
* Fuzzing cho các tham số HTTP đăng dữ liệu.
* Fuzzing cho các tham số JSON.
* Hỗ trợ DNS gọi lại để phát hiện và xác minh các lỗ hổng bảo mật.
* WAF Bypass Payloaps.
**Mô tả**
Tác giả đã nghiên cứu Log4J RCE (CVE-2021-44228) kể từ khi nó được phát hiện và làm việc để ngăn chặn lỗ hổng bảo mật này.Nhóm nghiên cứu đã phát triển một công cụ quét nguồn mở để phát hiện và giúp các nhà phát triển vá Log4J RCE-2021-44228.Công cụ này sẽ được sử dụng bởi các nhóm bảo mật để quét cơ sở hạ tầng của họ để tìm log4j rce và cũng kiểm tra các lượt WAF bỏ qua có thể dẫn đến thực thi mã trên môi trường dự án.
Nó hỗ trợ Callback DNS OOB ngay lập tức, không cần thiết lập máy chủ gọi lại DNS.
** Sử dụng **
`` `
$ python3 log4j -scan.py -h
[•] CVE-2021-44228-APACHE LOG4J RCE
[•] Máy quét được cung cấp bởi FullHunt.IO - Nền tảng quản lý bề mặt tấn công tiếp theo.
[•] Bảo vệ bề mặt tấn công bên ngoài của bạn với Fullhunt.io.
Cách sử dụng: log4j-scan.py [-u url] [-l Danh sách sử dụng] [--Request-type request_type] [-fuzzing]
.
Đối số tùy chọn:
-H, --Lelp hiển thị thông báo trợ giúp này
-U url, --url url kiểm tra một url duy nhất.
-P proxy, -proxy proxy
Gửi các yêu cầu thông qua proxy.proxy phải được cụ thể ở định dạng được hỗ trợ bởi các yêu cầu
.
-Ludlist, -danh sách sử dụng danh sách
Kiểm tra một danh sách các URL.
-Yêu cầu loại hình_type
Loại yêu cầu: (Nhận, Bài viết) - [Mặc định: Nhận].
-Tiêu đề tiêu đề_file
Tiêu đề danh sách fuzzing - [Mặc định: Tiêu đề.txt].
-Run-lel-tests chạy tất cả các thử nghiệm có sẵn trên mỗi URL.
--Exclude -Us-agent-fuzzing
Loại trừ tiêu đề tác nhân người dùng
-Giờ thời gian là
Thời gian chờ sau khi tất cả các URL được xử lý (tính bằng giây) - [Mặc định: 5].
.
-TEST-2021-45046
Kiểm tra sử dụng tải trọng cho CVE-2021-45046 (tải trọng phát hiện).
=======================================
, Log4j, log4j-scan **Log4J-Scan: The most automatic and accurate tool to scan for vulnerable Log4J servers**
**Join the Telegram channel of Tricksmmo
Link Telegram – a new era of messaging**Related Articles**
* [The best security scanning tools](https://tricksmmo.com/the-best-security-scanning-tools/)
* [How to scan automatically XSS with Dalfox](https://tricksmmo.com/how-to-scan-automatically-xss-with-dalfox/)
* [How to scan security holes with metasploit](https://tricksmmo.com/how-to-scan-security-holes-with-metasploit/)
* [Demo how to exploit the follina hole of Microsoft Word](https://tricksmmo.com/demo-how-to-exploit-the-follina-hole-of-microsoft-word/)
**Feature**
* Supports the list of URLs.
* Fuzzing for more than 60 HTTP requests (not only 3-4 headers as previously seen).
* Fuzzing for HTTP parameters Post Data.
* Fuzzing for Parameters JSON.
* Supports Callback DNS to detect and verify security holes.
* WAF BYPASS PAYLOAPS.
**Describe**
The author has studied Log4J RCE (CVE-2021-44228) since it was discovered and worked to prevent this security hole. The team developed an open source scanning tool to detect and help developers to patch the Log4J RCE-2021-44228. This tool will be used by security groups to scan their infrastructure to find Log4J RCE and also check the BYPASS WAF turns that can lead to code execution on the project environment.
It supports Callback DNS OOB immediately, no need to set the DNS Callback server.
**Using**
```
$ python3 log4j-scan.py -h
[•] CVE-2021-44228-Apache Log4J Rce Scanner
[•] Scanner provided by fullhunt.io - The Next -Gen Attack Surface Management Platform.
[•] Secure Your External Attack Surface with fullhunt.io.
Usage: log4j-scan.py [-u url] [-l usedlist] [--Request-type request_type] [--headers-file headers_file] [--Run -L-tests] [--exclude-user-agent-fuzzing]
[--wait-time wait_time] [--waf-sipass] [--dns-callback-Provider DNS_Callback_Provider] [--Custom-DNS-Callback-Host Custom_dns_Callback_Host]
Optional Arguments:
-H, - -HELP Show this Help Message and Exit
-U URL, --url URL check a single URL.
-P proxy, --proxy proxy
Send Requests Through Proxy.Proxy should be specific in the format supported by requests
(
-LUDLIST, --list usedlist
Check a list of urls.
--Request-Type Request_type
Request type: (Get, Post) - [Default: Get].
--headers-file headers_file
Headers Fuzzing List - [Default: Headers.txt].
-Run-LEL-TESTS Run All Available Tests on each URL.
--exclude -us-agent-fuzzing
Exclude user-agent header
--wait-time are
Wait Time After All URLS are processed (In Seconds) - [Default: 5].
--WAF-BYPASS Extend Scans with Waf BYPASS PAYLOAPS.
--Test-2021-45046
Test using Payloads for CVE-2021-45046 (Detection Payloads).
