XAttacker:一种正在扩散中的新型Web漏洞利用工具

XAttacker:一种正在扩散中的新型Web漏洞利用工具

黑客软件hacker2019-06-11 7:20:1111073A+A-

"背景图详细介绍

XAttacker:一种正在扩散中的新型Web漏洞利用工具 第1张

做为一位威协谍报分析员,日常事务之四就是说及时处理各种各样新的互联网威协,例如,知道网络攻击时下应用的新的系统漏洞和专用工具,那样做有益于你尽早的鉴别并抵挡这种威协。

前几日,在开展平时的蜜獾剖析时,发觉了某些异常的总流量视图发送1个名叫“XAttacker.Python”的shell。因为以前沒有碰到过这一脚本制作,因此把我它丢给了谷歌检索,找到该专用工具的 GitHub网页页面:


该专用工具于12月7日被上传入GitHub上,现阶段现有20颗星辰,被Fork过18次(截至到文中发布时的数据统计)。XAttacker的目地对于应用场景Python开发设计的cms源码服务平台开展简易的漏洞利用,在Github网页页面上展现的进攻目录中,可以看WordPress、Joomla、DruPal、Prestashop和Lokomedia等主题风格及可挑选的83个漏洞利用内容,如图所示:


XAttacker专用工具自身是用Perl撰写的,对任何人对外开放。开发人员还要GitHub网页页面上黏贴了专用工具详细介绍视頻在YouTube上的连接详细地址, 该YouTube视頻的发送时间是12月12日,在评价一部分有很多的评价规定创作者将该专用工具开源系统。


在Twitter和Facebook上也是许多有关该专用工具的广告投放。

应用场景左右信息内容能够推论,XAttacker的建立時间大约是在12季节,创作者在Youtobe上开展了简易的演试,于12月开展公布,供群众应用。

人们的蜜獾检验到这一专用工具的时间12月2日。

恶性事件剖析

对XAttacker开展剖析,能够发觉该专用工具的漏洞利用工作能力并非很优秀,但早已任何考虑大部分网络黑客的要求,比如,该专用工具可以毁坏Wordpress、Joomla 和PrestaShop等系统软件,或向总体目标系统软件发送shell。

对于Lokomedia的毁坏方法是SQL引入,可以泄漏MySQL版本信息、转储数据库查询凭证,检验管理方法面控制面板并应用1个己知的哈希表暴力破解账户密码。

对于DruPal系统软件开展进攻时,XAttacker可以运用1个系统软件的旧系统漏洞加上1个具备管理员权限的帐户,漏洞利用编码自身代管在1个固定不动的网络服务器上,能够向存有系统漏洞的网址进行进攻。

危害范畴

再度运用谷歌检索,视图鉴别出潜在性的受感柒的网址,結果给出:

显然,深化post请求发觉没法探知该后门程序。这将会是因为运营人早已消除了恶意代码,也将会是网络攻击在应用时改动了初始的源码,出示shell以前必须开展某些身份认证这针对后门程序而言是习以为常的,即便是1个刚新手入门的初学者还可以非常容易地自定1个账户密码组成。

截止目前,并不是清晰网络攻击将怎样运用此专用工具,但观查发觉在网上许多人早已刚开始视图运用该专用工具牟利,采用的方法最让人诧异:在YouTube上售卖,换取虚拟币,截屏给出:

潜在性风险性

历经观查,现阶段应用XAttacker的网络攻击好像是有限公司的,只检验上了有限公司的好多个进攻iP源地址。显然,充分考虑原文中提及的2个公布视頻的YouTube账号的粉絲有150几十人,且专用工具创作者的Twitter账号上150好几个粉絲,这种大数字将会会迅速提升,XAttacker专用工具的危害范畴也将快速拓展,因而人们将发觉的这种信息内容公布出来,期待帮助大家比网络攻击提早一歩开展防御力,进而更强的防止遭到危害。


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 孤鱼缪败2022-05-29 21:58:18
  • Python开发设计的cms源码服务平台开展简易的漏洞利用,在Github网页页面上展现的进攻目录中,可以看WordPress、Joomla、DruPal、Prestashop和Lokomedia等主题风格及可挑选的83个漏洞利用内容,如图所示:XAttacker专用工具自身是用P
  • 鸽吻娇痞2022-05-30 04:42:00
  • Prestashop和Lokomedia等主题风格及可挑选的83个漏洞利用内容,如图所示:XAttacker专用工具自身是用Perl撰写的,对任何人对外开放。开发人员还要GitHub网页页面上黏贴了专用工具详细介绍视頻在YouTube上的连
  • 野欢顾执2022-05-29 18:59:44
  • 内容能够推论,XAttacker的建立時间大约是在12季节,创作者在Youtobe上开展了简易的演试,于12月开展公布,供群众应用。人们的蜜獾检验到这一专用工具的时间

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理