今天看到团队有兄弟说github上有个exp像是有问题,刚刚就给他下载下来看了看了一下,以下是分析过程(不会逆向,正在学习,简单的看一下,不一定对):
先把东西下载下来,发现有一堆文件,其中有个jar包,拖到反编译工具里面看一下:
大概是这么个结构,翻翻里面的代码看看:
这里有个贼长的数组,因为我这正好之前分析别的东西,弄了个代码把数组给他提出来了,然后写了个class文件,工具类贴一下
byte[] byteArray = ;// 这里是你的字节数组FileOutputStream outputStream = null;try {outputStream = new FileOutputStream("test.class");outputStream.write(byArray);} catch (IOException e) {e.printStackTrace();} finally {if (outputStream != null) {try {outputStream.close();} catch (IOException e) {e.printStackTrace();}}}
用hex编辑器把这个文件打开看下
FC4883E4F0这玩意看着挺眼熟,仔细一想,cs和msf的不就是这个么,正好我还有个工具类,给他转成好
写个shellcode加载器,直接丢到vt,然后看一下运行的结果
emmm,翻了下威胁情报和资产测绘平台没啥东西,扫一下目标端口看看
emmm,初步判断好像是有问题
原文始发于微信公众号(天幕安全团队):Github投毒分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论