基于OpenAPI的APIcat开源日志监控软件已经开发一段时间了,在自己的网站上抓到了一些HTTP的攻击,没事,我们就汇总给大家做个赏析,也当是个提醒。
对应的OpenAPI定义上传到了百家饭平台
API攻击样例详情百家饭OpenAPI平台主站
https://rongapi.cn/api/detail/64
/actuator/health
这是Spring Boot Actuator的默认页面路径,Spring Boot Actuator是Spring Boot提供用于对应用系统进行自省和监控的功能模块。
我猜探测这个点是为了看系统是不是java spring编写的,如果是的话,估计下一步会上一些后续攻击。
/version
这个url比较宽泛,没有找到具体的出处,猜测是探测详细API的版本和对应路径使用的
/portal/redlion
一个已知的漏洞,用于攻击Crimson软件,这个软件似乎是个用于工业可编程设备的软件,这要被攻击到了,是不是工业生产都要停……
/ReportServer
搜索显示应该是和SQL Server 2016 Reporting Services 相关的一个报告页面的入口,猜测主要还是为了找sql server的更详细信息
/.env
.env主要存储用户相关的环境变量数据,如果探测到,里面应该会有很多以环境变量存储的系统信息,还可能会有密码什么的,这可能主要会出现在错误的把home目录配置成静态文件目录的情况?静态文件托管的可能发生这种情况的比较多。
/shell
shell是linux命令行的界面,这个和.env一样,我不是很理解,我知道攻击这个可以获得操作系统的权限,但是什么系统会把这个开放到网上?
/setup.cgi
一个和Netgear DGN1000路由器相关的漏洞,可以远程在路由器上执行操作,看来不是只针对服务器,路由器等客户端设备也容易被攻击
Netgear DGN1000 Setup.cgi Unauthenticated RCE/ab2g, /ab2h
这个就厉害了,很传奇的样子,是一个叫CobaltStrike软件的默认攻击点,ab2g用来攻击x86, ab2h用来攻击x64
CobaltStrike是一款基于Java编写的全平台多方协同后渗透攻击框架,也称为CS
渗透利器Cobalt Strike在野利用情况专题分析 - FreeBuf网络安全行业门户https://www.freebuf.com/articles/system/236770.html上面这个文章写的比较精彩
/config/getuser
又一个路由器攻击,针对某些特定版本的D-Link DCS-2530L,由此可见外国朋友的ip数量确实多,中国早两层NAT了……
先写到这,下周继续给大家介绍
