おふとん

IT全般、セキュリティとかCTFとかに偏りがち

ハニーポット

ハニーポットを運用する上で気を付けなければならない攻撃手法(Blind XSS)

ハニーポットで得たログはそのままでは見辛いです。 なのでログを整形してWebページなどに出力して解析を行っている方は多いのではないでしょうか? 私もどこでも見ることが出来るという理由からWebページにしています。 その際に考えなければならない攻撃と…

S2-057(CVE-2018-11776)に関する攻撃の観測

ハニーポットでS2-057(CVE-2018-11776)に関する通信の検知がいくつか来ていたので記事書きます。 現状では任意コマンド実行は公開されているPoC以外無し。 一番見るタイプ。この通信に限って言えばshowcaseをリダイレクトする人はまず居ないので無害。 全てU…

Apache Struts2のへの攻撃ログ(S2-045/CVE-2017-5638)と検体について

ハニーポット(WOWHoneypot)にApache Struts2の脆弱性(S2-045/CVE-2017-5638)を狙った攻撃が来ていたので動向を見てみました。 これらの通信は8088/tcp、8090/tcp、8880/tcpに3つずつリクエストが来ており以下は8090/tcpの例となっています。 [ログ1]OS調査 …

Ethereumノードへの調査活動

ハニーポットにEthereum関係の通信が来ていました。 [ログ1] [ログ2] どちらもJSON-RPC APIを使ったアクセスです。 EthereumノードにJSON-RPC API経由でアクセスする このAPIへのリクエスト方式はJSON形式で以下のように送信されます。 要素 説明 jsonrpc 2.…

PROPFINDリクエスト!?

WordPressとWOWHoneypotにほぼ同時にPROPFINDという見慣れないリクエストが来ていました。 [WordPressに来たリクエスト]PROPFIND / HTTP/1.1 Host: localhost Connection: Close Content-Length: 0 If: