おふとん

IT全般、セキュリティとかCTFとかに偏りがち

INetSimにおいてドメインによってレスポンスを変える方法

1.前提 INetSimはDNS、SMTP(S)、FTP(S)、HTTP(S)、POP3(S)など様々なサービスを模倣してくれるソフトウェアです。 例えばマルウェアのC2サーバを解析したい場合は、DNSの設定でデフォルト値を192.168.100.3にすると全ての名前解決が192.168.100.3で返されま…

IPアドレスの難読化

[環境] MacOS High Sierra(10.13.4) [対象] ・pingコマンド ・curlコマンド ・Safari(11.1)を使ったアクセス [操作] 上記の対象からIPアドレスを使ってコマンド実行、及びアクセスを行う時にどこまで許容されるかを確かめる。 pingはping [IPアドレス] curl…

ハニーポットを運用する上で気を付けなければならない攻撃手法(Blind XSS)

ハニーポットで得たログはそのままでは見辛いです。 なのでログを整形してWebページなどに出力して解析を行っている方は多いのではないでしょうか? 私もどこでも見ることが出来るという理由からWebページにしています。 その際に考えなければならない攻撃と…

ハニーポットに来るような攻撃者はどれくらい稼いでいるのか

先日ハニポに来たこのログ POST /wls-wsat/CoordinatorPortType HTTP/1.1 Host: xxx.xxx.xxx.xxx Connection: keep-alive Accept-Encoding: gzip, deflate Accept: */* User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KH…

Node1 Writeup

https://ohuton.hatenadiary.jp の続きこの記事はWriteupです。 本問題のネタバレになってしまうので それを理解の上で見てください。 また引き続きツールの導入や使用法は省略 まず目標は以下のようになります 目標:ユーザー、rootのflagを見つける これは…

ペネトレーションテスト練習サイト(VulnHub)

VulnHubはペネトレーションテスト練習用のイメージを配布しているサイトです。 Vulnerable By Design ~ VulnHub配布形式はova形式でVirtualBox、VMwareで稼働確認されているようです。 今回使ったのは以下の環境で、現在(2018/08/30)で最新のNode:1(https://…

S2-057(CVE-2018-11776)の調査通信で特徴的だったもの

左から日時、送信元、送信先(黒塗り)、リクエスト...の形式です。 WOWHoneypotなので最後にデコードしたログへのリンクやら。 ハニーポットは影響範囲の広い脆弱性が出ない場合は同じようなログが続いてしまうため このIPからは以前はどのような攻撃が来てい…

S2-057(CVE-2018-11776)に関する攻撃の観測

ハニーポットでS2-057(CVE-2018-11776)に関する通信の検知がいくつか来ていたので記事書きます。 現状では任意コマンド実行は公開されているPoC以外無し。 一番見るタイプ。この通信に限って言えばshowcaseをリダイレクトする人はまず居ないので無害。 全てU…

Apache Struts2のへの攻撃ログ(S2-045/CVE-2017-5638)と検体について

ハニーポット(WOWHoneypot)にApache Struts2の脆弱性(S2-045/CVE-2017-5638)を狙った攻撃が来ていたので動向を見てみました。 これらの通信は8088/tcp、8090/tcp、8880/tcpに3つずつリクエストが来ており以下は8090/tcpの例となっています。 [ログ1]OS調査 …

Ethereumノードへの調査活動

ハニーポットにEthereum関係の通信が来ていました。 [ログ1] [ログ2] どちらもJSON-RPC APIを使ったアクセスです。 EthereumノードにJSON-RPC API経由でアクセスする このAPIへのリクエスト方式はJSON形式で以下のように送信されます。 要素 説明 jsonrpc 2.…

PROPFINDリクエスト!?

WordPressとWOWHoneypotにほぼ同時にPROPFINDという見慣れないリクエストが来ていました。 [WordPressに来たリクエスト]PROPFIND / HTTP/1.1 Host: localhost Connection: Close Content-Length: 0 If: