Come decodificare questo exploit scanner?

3

Il mio server è ovviamente aggiornato e non vulnerabile agli exploit di shellshock.

Tuttavia, sono ancora curioso e vorrei sapere come decodificare la seguente scansione di vulnerabilità. Ho una lunga serie di questi nei miei registri, testando vari nomi di script cgi:

root@ks304960 01:41:29 /var/log/apache2 # cat access.log | grep -v "internal dummy connection" | grep cgi
162.247.73.74 - - [26/Sep/2014:04:02:58 +0000] "POST /cgi-bin/php/%63%67%69%6E/%70%68%70?%2D%64+%61%6C%75%6F%6E+%2D%64+%6D%6F%64+%2D%64+%73%75%68%6F%6E%3D%6F%6E+%2D%64+%75%6E%63%74%73%3D%22%22+%2D%64+%64%6E%65+%2D%64+%61%75%74%6F%5F%70%72%%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%74%5F%3D%30+%2D%64+%75%74+%2D%6E HTTP/1.1" 404 452 "-" "-"
104.194.6.175 - - [26/Sep/2014:18:23:29 +0000] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 467 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
104.194.6.175 - - [26/Sep/2014:18:24:13 +0000] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" 404 470 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

Come decodificare la stringa nel POST? Oltre alla scansione per vulnerabilità shellshock, che cosa sta cercando di ottenere?

Altri esempi di scansione degli exploit qui: Come funziona questa scansione shellshock?

    
posta augustin 27.09.2014 - 03:57
fonte

3 risposte

5

I valori sono solo codificati tramite URL, puoi decodificare la stringa di query usando questo: link

Il primo:

In questo caso il percorso attuale è codificato.

%63%67%69%6E/%70%68%70 -> cgin/php

La stringa di query effettiva viene decodificata su:

-d aluon -d mod -d suhon=on -d uncts="" -d dne -d auto_prt -d cgi.force_redirect=0 -d t_=0 -d ut -n

L'unica avvertenza è che sembra che ci sia un% in più nel 72 %% 74 che deve essere rimosso per decodificarlo correttamente. Non sono sicuro che sia stato solo un errore.

Secondo / Terzo

La stringa di query decodifica in:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n

In entrambi i casi puoi vedere che stanno ovviamente cercando di iniettare codice shell in argomenti per l'interprete PHP.

    
risposta data 27.09.2014 - 04:27
fonte
8

Non esegue la scansione per l'exploit "shellshock". Sta eseguendo la scansione di un vecchio exploit in cui un server mal configurato lascia una copia dell'interprete PHP nella directory CGI, consentendo l'esecuzione remota di codice arbitrario.

    
risposta data 27.09.2014 - 04:26
fonte
1

Puoi decodificarlo usando il seguente comando shell:

echo "%2D%64+%61%6C%6C" | sed "s@+@ @g;s@%@\\x@g" | xargs -0 printf "%b"

Questa è in pratica una stringa di codifica URL che viene utilizzata in una parte di query di un URL. Ogni parte con un segno di percentuale ( % ) seguito da due cifre esadecimali e spazi codificati come segni di più ( + ).

    
risposta data 27.07.2016 - 02:13
fonte

Leggi altre domande sui tag