おふとん

IT全般、セキュリティとかCTFとかに偏りがち

セキュリティ

ハニーポットを運用する上で気を付けなければならない攻撃手法(Blind XSS)

ハニーポットで得たログはそのままでは見辛いです。 なのでログを整形してWebページなどに出力して解析を行っている方は多いのではないでしょうか? 私もどこでも見ることが出来るという理由からWebページにしています。 その際に考えなければならない攻撃と…

Node1 Writeup

https://ohuton.hatenadiary.jp の続きこの記事はWriteupです。 本問題のネタバレになってしまうので それを理解の上で見てください。 また引き続きツールの導入や使用法は省略 まず目標は以下のようになります 目標:ユーザー、rootのflagを見つける これは…

ペネトレーションテスト練習サイト(VulnHub)

VulnHubはペネトレーションテスト練習用のイメージを配布しているサイトです。 Vulnerable By Design ~ VulnHub配布形式はova形式でVirtualBox、VMwareで稼働確認されているようです。 今回使ったのは以下の環境で、現在(2018/08/30)で最新のNode:1(https://…

S2-057(CVE-2018-11776)に関する攻撃の観測

ハニーポットでS2-057(CVE-2018-11776)に関する通信の検知がいくつか来ていたので記事書きます。 現状では任意コマンド実行は公開されているPoC以外無し。 一番見るタイプ。この通信に限って言えばshowcaseをリダイレクトする人はまず居ないので無害。 全てU…

Apache Struts2のへの攻撃ログ(S2-045/CVE-2017-5638)と検体について

ハニーポット(WOWHoneypot)にApache Struts2の脆弱性(S2-045/CVE-2017-5638)を狙った攻撃が来ていたので動向を見てみました。 これらの通信は8088/tcp、8090/tcp、8880/tcpに3つずつリクエストが来ており以下は8090/tcpの例となっています。 [ログ1]OS調査 …

Ethereumノードへの調査活動

ハニーポットにEthereum関係の通信が来ていました。 [ログ1] [ログ2] どちらもJSON-RPC APIを使ったアクセスです。 EthereumノードにJSON-RPC API経由でアクセスする このAPIへのリクエスト方式はJSON形式で以下のように送信されます。 要素 説明 jsonrpc 2.…

PROPFINDリクエスト!?

WordPressとWOWHoneypotにほぼ同時にPROPFINDという見慣れないリクエストが来ていました。 [WordPressに来たリクエスト]PROPFIND / HTTP/1.1 Host: localhost Connection: Close Content-Length: 0 If: