某挖矿木马分析
基本信息报告名称:某挖矿木马分析 作者:sshui 分析时间:2023年4月25日 样本信息.sh下载器 x64挖矿木马 x32挖矿木马 行为分析 创建定时任务 向/etc/crontab、/var/spool/cron/crontabs/root 、/etc/cron.d/root、/var/spool/cron/root写入定时任务 修改/etc/hosts文件 根据受害者系统架构的不同下载x64或x32的挖矿木马文件并名为5e87b7d58f59c0a4 覆盖/usr/local/sbin/sshd 利用受害者保存的公钥,远控其他主机下载木马进行传输 详细分析.sh下载器 木马首先添加了两个每10分钟执行一次的定时任务,试图从远程下载或本地获取木马程序并运行。 接下来木马尝试是否对/usr/local/bin/、/usr/libexec/、/usr/bin/这三个目录具有修改权限,并将当前木马所在目录加入可执行目录。然后木马先检查当前目录是否存在挖矿木马文件5e87b7d58f59c0a4,若不存在则从远程下载对应系统架构的挖矿木马并命名为5e87b7d58f59...
从0到1分析 CVE-2023-46604
从0到1分析 CVE-2023-46604漏洞介绍漏洞描述CVE-2023-46604是Apache ActiveMQ中的一个远程代码执行(RCE)漏洞。该漏洞允许远程攻击者通过向Apache ActiveMQ的61616端口发送特制的恶意数据,导致在目标系统上执行任意代码。 漏洞影响范围5.18.0至5.18.2 5.17.0至5.17.5 5.16.0至5.16.6 5.15.16 之前的版本 解决建议升级至安全版本。 资产测绘app=”Apache ActiveMQ” 前置知识ActiveMQActiveMQ是由Apache出品的,一款最流行的,能力强劲的开源消息总线。ActiveMQ是一个完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现,它非常快速,支持多种语言的客户端和协议,而且可以非常容易的嵌入到企业的应用环境中,并有许多高级功能。 OpenWire协议OpenWire 协议是ActiveMQ默认的通信协议,该协议基于TCP协议实现。 OpenWire 将对象编码为字节数组,并将被编码的对象称之为命令。编码命令中使用的所有数据均以...
v2board v.1.6.1 越权访问
v2board v.1.6.1 越权访问项目介绍v2board 是一个开源机场项目,在 GitHub 上有 3.5k 的 star。 ZoomEye 搜索语法:app:”v2board” 漏洞介绍v2board 在 1.6.1 版本中存在一个越权访问漏洞。由于 v2board 引入了对于用户 Session 的缓存机制,服务器会将用户的认证信息储存在 Redis 缓存中,但是程序在使用 Redis 缓存后没有对普通用户和管理员用户做一个鉴权,以普通用户登陆后可以直接请求管理员的接口。 安全版本 v2board >= 1.7.0 修复建议 厂商已修复该漏洞,建议受影响用户及时升级至 1.7.0 及以上版本。 详细分析漏洞点在 app/Http/Middleware/Admin.php。 在本处代码判断 Redis 中是否存在 authorization,如果存在就能访问 admin 这个接口,而程序并没有进一步对 authorization 进行判断,检查是否为管理员的 authorization 。在 1.7.0 版本中,本处代码去掉了从缓存中判断的逻辑。...
彩虹猫病毒分析报告
基本信息报告名称:彩虹猫病毒分析报告 作者:sshui 报告更新日期:2023年4月24日 样本发现日期:*** 样本信息 壳信息 病毒调用CryptGenRandom函数。 简介彩虹猫病毒属于MBR病毒,从功能上看,它是一款恶作剧病毒。该病毒会修改MBR主引导扇区,以此来破坏电脑的正常启动。在修改MBR后,电脑重启会停留在一个彩虹猫的画面,因此该病毒被称为是彩虹猫病毒。 行为分析 自动弹出多个浏览器搜索窗口 鼠标异常晃动 窗口颜色怪异 反复出现系统提示音 出现六个MEMZ进程 当用户尝试关闭任意一个MEMZ进程或者手动关闭计算机,都会出现大量弹窗随后蓝屏,接着Windows无法正常启动,只会循环播放一只彩虹猫附带还款的背景音乐,无论多少次重启均如此。 详细分析查壳 启动PEiD发现使用ASProtect v1.32*进行加壳或加密 使用StudyPE+进行分析,查看样本的导入表,发现大量导入的函数,对函数进行分类: 和发生现象有明显直接联系的函数: 自动弹出多个浏览器搜索窗口——ShellExecute 鼠标异常晃动——SetCursorPos、GetCursorPos...
积木报表SSTI漏洞分析
项目介绍JimuReport-积木报表是一款免费的web报表工具,在Github上面拥有4.7k的star。项目地址为:https://github.com/jeecgboot/JimuReport 使用zoomeye发现存活资产682。 zoomeye语法:app:”积木报表” 漏洞分析漏洞介绍&复现积木报表的/jmreport/queryFieldBySql接口存在SSTI。 该接口主要功能是方便用户自定义接口从数据库中读取数据,制作动态数据报表。同时为了防止被注入恶意SQL语句,后端采用了黑名单的形式过滤SQL语句。 该接口使用了FreeMarker模板解析用户的输入,同时缺少对输入参数的过滤,我们可以通过该接口执行任意命令。 POC如下: 12345678910111213141516171819POST http://118.24.23.24:8085/jmreport/queryFieldBySql HTTP/1.1Host: 118.24.23.24:8085Content-Length: 97JmReport-Tenant-Id: nullUs...
trojan_web的两个代码问题
项目介绍该项目是一个方便trojan代理服务管理的一个开源项目。在github上面存在4.9k start。项目地址为:https://github.com/Jrohy/trojan 简单使用zoomeye搜索了一下,资产数量还是较多的。 漏洞分析管理员账号修改先贴上POC 123456789101112131415161718192021POST /auth/register HTTP/1.1Host: Content-Length: 195Sec-Ch-Ua: "(Not(A:Brand";v="8", "Chromium";v="100"Accept: application/json, text/plain, */*Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryylOrjne0zPrp9j9NSec-Ch-Ua-Mobile: ?0User-Agent: Mozilla/5.0 (Windows NT 1...
某远控木马分析
基本信息报告名称:某远控木马分析 作者:sshui 发现时间:2023/04/11 分析时间:2023/04/26 样本信息远控.exe 行为分析行为 双击自解压,释放出7个隐藏文件,并执行一个恶意程序wscript.shell。 执行wscript.shell,该程序启动了一个具有隐藏界面的进程,在文件系统上创建了脚本文件,获取到系统的信息。 wscript.shell启动了rdService.exe程序,该程序检测当前是否处于虚拟环境,然后启动了net1.exe程序。 net1.exe程序向系统服务器发送控制码,进行远控。 远控连接域名auth.rdviewer.com。 分析 域名auth.rdviewer.com 发现该域名属于济南快安网络科技有限公司,这是一家销售远控软件的公司。同时,在官网发现一则公告。该公告表明有用户破解该软件实现无提示安装,并通过该方式非法远控他人电脑。https://www.rdviewer.com/2717.html 综上,该远控木马通过自解压方式,无提示安装已配置好的正规RdVi...
Metabase H2 RCE CVE-2023-39646漏洞分析
Metabase H2 RCE CVE-2023-39646漏洞分析项目介绍Metabase是一个开源的商业智能工具,可以通过它理解数据、分析数据,进行数据查询并获取格式化结果(图形化视图),以数据驱动决策。 Hologres兼容PostgreSQL,支持直接连接Metabase进行数据分析。 该项目在GitHub上面拥有34k的star,项目地址为:https://github.com/metabase/metabase 漏洞介绍Metabase 在 0.46.6.1 版本之前的开源版本和 1.46.6.1 版本之前的企业版本中存在远程代码执行漏洞,可导致攻击者在服务器上以运行 Metabase 服务器的权限执行任意代码。 安全版本 Metabase open source >= 0.46.6.1 Metabase Enterprise >= 1.46.6.1 Metabase open source >= v0.45.4.1 Metabase Enterprise >= v1.45.4.1 Metabase o...
Craft CMS 前台RCE(CVE-2023-41892)漏洞分析
Craft CMS 前台RCE(CVE-2023-41892)漏洞分析项目介绍Craft CMS(Content Management System)是一个强大、灵活且易用的内容管理系统,旨在为开发人员、设计师和内容创作者提供出色的使用体验和定制能力。Craft CMS 项目(以下统一简称项目)在 GitHub 拥有 3.1k 的 star。项目地址为:https://github.com/craftcms/cms ZoomEye语法:app:”Craft CMS” 漏洞介绍漏洞描述 Craft CMS前台存在一个可以创建任意对象的接口,未授权的攻击者可以通过该接口创建可执行恶意代码的FnStream对象,从而在服务器上执行任意代码。 Payload 1action=conditions/render&test=craft\elements\conditions\tags\TagCondition&config={"name":"test","as sdyz":{"cla...
