乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
1. 前提概要
在今天,整个安全圈都在围绕Spring展开:基本上都是一些段子:
2. 钓鱼攻击
在讨论poc的间隙,22点30左右,在GitHub上有人爆出了一个链接地址:
https://github.com/shakeman8/Spring-Core-RCE
并且包含一个exe文件:
该exe文件大小是8M左右,经过证实,该文件为针对安全从业人员的钓鱼攻击:
https://www.virustotal.com/gui/file/45ef7d9efba711af2196fe0d14097293fb0922b76addee0f7e4d19fa03b3844d
源码下载之后:
只是一个readme文件:
当然,我也在虚拟机中执行看了下(我是大冤种):
其实这个钓鱼里面有一个比较小的瑕疵,是能够看出来的:(不一定准)
因为当前的windows cmd的问题,在这里执行的话,没有出现红色和绿色的(不一定准确),但是作者的命令行出现了红绿相间的命令行,怀疑是在Linux下制作的木马:
这种在我自己写的工具里面就是这样: mac下:
windows下没显示出来:
3. 钓鱼分析(来源NowSec师傅)
根据NowSec师傅的分析,当前样本执行之后的效果如下:执行之后会读取浏览器保存的用户名、密码和对应URL、然后在C:\Users\Public下创建一个tmp文件,下次再执行,就不会上传(应该是判断这个tmp文件是否存在吧),删除tmp文件后再执行可以复现。
感谢NowSec师傅的帮助!
tips:加我wx,拉你入乌鸦安全群,一起学习
扫取二维码获取
更多精彩
乌鸦安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论