WooYun.org

ES远程代码执行
目标机器：117.78.4.25

通过简单的linux命令查看到此服务器为IMAX智真云会议的GC管理网关内网机器 负载了十几台数据服务器
管理员估计是个萌妹子哦 位于华为江苏南京的分公司应该 ip:221.226.48.130

由于机器只对公网开了22的ssh端口 并限定南京ip登录 sshd后门将略显拙略
在查看服务器端口时发现很有意思的事
8800路由映射端口 在漏洞爆发之前就已经向某国某数据公司数据中心集群整个C段服务器做了映射
由于8800经常适用于内网后门映射 我们首先假设目标服务器已被目标ip段入侵

目标ip分别为1.某国某公司数据中心集群 2.罗马尼亚 3.北美地区某ip
然后我们专门电话了华为安全部门的哥们 很委婉的询问关于华为云服务器路由映射的问题
得到的回答是:北美地区业务很少 有也是正常的会议端口
那么假设结论为:
黑客A入侵华为后上传脚本并进行路由映射但并未成功，漏洞爆发前后两周分别映射向世界不同ip服务器，所有路由映射状态为CLOSE_WAIT。
其次 我们发现了黑客B 一位乌云所谓的白帽子

为什么这么说？
园长的acat.jar后门在zone和博客发布之前就已获取，在园长发布当天下午此后门就已经上传华为云服务并没有在乌云报洞，企图控制服务器获取权限内网渗透。但是很笨拙的手法和linux知识导致黑客B获取权限失败。鉴于天朝报复特性，此处黑客B的log日志记录不做截图。
黑客B使用acat.jar获取权限失败，但是貌似提醒了黑客A。通过微型webserver开端口反弹权限。黑客A使用了silencer或者webex同类的后门 在目标服务器上分配一个随机端口 映射到中转服务器的木马端口1001

监控目标服务器二周 暂时就发现了这么点
在寻找黑客A的触发脚本时，可能由于黑客B的误操作命令导致目前服务器elasticsearch服务状态503
持续3天了。。。。那妹子也懒得管 我还是交了吧
顺便问一下 黑客Aand黑客B一伙？