前情提要,某单位的服务器被种马了,溯源过后找到了对应的C2服务器地址,攻击者也是教科书式犯病了,经典的利用其他漏洞的时候给C2服务器开了python http服务导致整个服务器文件泄露。同样的事情之前也出现过,见https://mp.weixin.qq.com/s/ZrKlDVBnSi6z6u4zRhfhpw。个人建议要么用完记得随手关闭服务,要么学寒蝉师傅的手法,创建一个share来存放相关的远程落地文件,然后再share文件下再来开web,再根目录开web。
好了话说回来这台肉鸡上的文件也是非常黑客,在他的文件列表里有一个名为代码审计的文件夹,点进其中的Java
就看到文件夹下面有1.java,2.java,test.java。我第一反应是这人挺幽默的自己创建的类名就叫做1,他要是写多了不知道自己这些类哪个是干啥的就好玩了……然后这位黑客的1.java这样写的
他自己写的时候写的类名是OpenCalculator,文件名写个1.java运行得动就有鬼了。
原文始发于微信公众号(黄豆安全实验室):(吃瓜)刘农TV之Java代码审计大师的1.java文件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论