假的EXP:
https://github.com/shakeman8/Spring-Core-RCE
该exe文件大小是8M左右,经过证实,该文件为针对安全从业人员的钓鱼攻击:
https://www.virustotal.com/gui/file/45ef7d9efba711af2196fe0d14097293fb0922
根据NowSec师傅的分析,当前样本执行之后的效果如下:执行之后会读取浏览器保存的用户名、密码和对应URL、然后在C:\Users\Public下创建一个tmp文件,下次再执行,就不会上传(应该是判断这个tmp文件是否存在吧),删除tmp文件后再执行可以复现。
最后通过技术手段得到目标ip:84.247.23.128
好玩的来了。