案例|WebLogic反序列化漏洞攻击分析

目前网络攻击种类越来越多，黑客的攻击手段也变得层出不穷，常规的防护手段通常是对特征进行识别，一旦黑客进行绕过等操作，安全设备很难发现及防御。通过科来网络回溯分析系统可以全景还原各类异常网络行为，记录所有攻击操作，对攻击行为进行深入分析，确保分析的准确性，更有力的保障网络安全。

问题描述

用户接到漏洞平台反馈，某白帽子在近日上报用户服务器xx.xx.10.122存在漏洞，可以GETSHELL，获取服务器权限。接到通知后，对问题服务器进行深入分析。

分析过程

如上图，可以看到在漏洞上报时段前，120.195.55.56频繁连接问题服务器的8080端口，产生了14.34MB的数据通讯。

此IP与问题服务器的第一个会话连接发生在16:30分左右，可以看到120.195.55.56在对服务器进行WebLogic T3协议的请求，后续进行了Java反序列化漏洞检测（WebLogic）。

攻击者成功利用此漏洞，连接到服务器内部，列出服务器内部目录，如上图。

并且通过漏洞向服务器部署名为1.jspx的WebShell文件，密码为为“gogogo”。

再次列目录时，此WebShell已经存在服务器内部。

攻击者使用密码“gogogo”成功登陆WebShell，成功获取服务器权限。随后攻击者成功进行列目录、修改文件、连接数据库等操作，如下：

攻击者连接数据库并成功的查询了数据库内部信息，如下：

攻击者在服务器内部创建并下载了名为pack.zip的压缩文件。

通过页面还原，可以看到攻击者获取了数据库的表名、内部用户敏感信息等数据，如下图：

其他问题

在分析的过程中，发现攻击者的IP120.195.55.56在6月22日同时对xx.xx.10.21进行了同样的攻击，部署名为1.jspx的WebShell文件，成功获取了服务器权限。随后在6月24日才进行了数据库的访问。

对xx.xx.10.21进行深入分析，发现：

此服务器在6月3日已经通过同样的方式被成功GETSHELL，上图为攻击者121.69.48.36部署WebShell文件1.jsp，密码同样为“gogogo”。

并且部署了wooyun.jsp的WebShell。此次攻击没有后续的攻击行为，只是对这两个Webshell进行连通性测试。

问题总结

攻击者120.195.55.56在6月22日16:30左右对多个服务器进行了JAVA反序列化漏洞的测试，其中服务器xx.xx.10.122的8080端口及168.160.10.21的80端口存在此漏洞，攻击者成功入侵服务器并成功部署了名为1.jspx的Webshell，成功获取服务器权限，成功的进行了数据库查询、下载pack.zip等操作。

经过对服务器的深入分析，发现服务器xx.xx.10.21早在6月3日已经被攻击者121.69.48.36利用相同的方式成功入侵并部署了名为1.jsp和wooyun.jsp的WebShell文件，成功获取权限，但并未进行数据库查询等操作。

网络分析价值

网络分析技术可以保存最原始的数据包进行攻击检测，快速从大量数据中定位攻击源，掌握攻击者的每一个攻击动作，评估攻击的危害型。帮助用户更好的防御各类网络攻击。

延伸阅读

案例| 回溯分析提取关键业务数据中断

案例|有人利用DDOS攻击威胁 问我要10万美金

案例|从一次流量异常中发现主机被植入后门程序

欢迎大家订阅“网络安全员”头条号， 更多优秀网络问题分析案例，不定时更新！