자바 취약점 하나로 이뤄질 수 있는 일.

 어제 사용자 점검 중에 자바 취약점 하나로 이뤄질 수 있는 일을 보았다.

대충 말로 하자면.. ShotURL로 접속되면서, jar 파일 받아오고, exe 파일을 받아옴

exe 파일은 backdoor 이고.

 

 ShotURL로 접속되어서 302가 된다

 

근데 그 302 페이지는 ShellCode가 들어있고...

 

하단에 자바 파일이 생성됨....ㅋ 

중간에 있는 unescape 디코딩한 것...

 

 document.write 가 먹히지 않았다..

하지만 alert는 된다는 것?ㅋㅋ

보는 방법은 여러가지...ㅋㅋ

 

 

이동되는 페이지는 결국 상위 도메인으로 가고 있었다는 거...

 

자바 파일에 보면 exe 파일이 naming 되는 것에 대해서 짜여진 것을 확인하였는데.

실제로 확인해보니.. 그렇게 되더라..ㅋㅋ

 

이눔들 temp 안에는 e.exe 파일..

그리고 system32. 올바르지 않은 경로에 있는 파일이..

외부로 커넥션이 되어있었다..

이게 다 일까?

어차피 포트 열어놓고 접속하려는 짓꺼리인데...