cNotes 検索 一覧 カテゴリ

インジェクション 8080のアクセス制御? 2

Published: 2010/02/19

インジェクション 8080のアクセス制御?」に関して別のサンプルの結果が出ました。


一つ目。このインジェクションURLについて。

初回アクセスから117時間は0byte応答

その後252時間スクリプトがダウンロード可能に。

↓cfr.phpの中身はこれだが404.phpは0byte応答

それ以降は0byte応答になる

co.idとは変わったドメインで。。。

 domain:  wam.co.id
 org: Andalan.Net
 desc:  Domain ini akan digunakan sebagai website PT. PT. Wiramitra Artha Mulia
 admin-c:  yap1
 tech-c:  cm1
 bill-c:  cm1
 nserver: ns1.orbitindo.com
 nserver: ns2.orbitindo.com
 created: 2006-01-09 00:00:00.0
 expires: 2007-01-09 00:00:00.0
 last-update: 2006-01-09 00:00:00.0
 domain-status: Object is active
 source:  SAMPLE # Filtered
 
 nic-hdl:  yap1
 person:  Yudi Anthoni Putra
 address:  PBNU Building 6th Floor Jl. Kramat Raya No. 164 ,
 
 nic-hdl:  cm1
 person:  Christina Mumpuni
 address:  Kawasan Nusa Dua Blok G - 16 No 29
 CitraGran - Ci
 Queried whois.arin.net with "67.215.237.42"...
 
 OrgName:    Secured Private Network 
 OrgID:      SPNW
 Address:    1740 East Garry Ave.
 Address:    Suite 234
 City:       Santa Ana
 StateProv:  CA
 PostalCode: 92705
 Country:    US
 
 NetRange:   67.215.224.0 - 67.215.255.255 
 CIDR:       67.215.224.0/19 
 OriginAS:   AS22298
 NetName:    SPN3W
 NetHandle:  NET-67-215-224-0-1
 Parent:     NET-67-0-0-0-0
 NetType:    Direct Allocation
 NameServer: NS1.SECUREDPRIVATENETWORK.NET
 NameServer: NS2.SECUREDPRIVATENETWORK.NET
 Comment:    
 RegDate:    2007-10-18
 Updated:    2008-10-08

二つ目は「インジェクション 8080のアクセス制御?」の別パターン。該当URLはこれ。

初回アクセスから11時間0byte応答

その後一回だけダウンロードが成功

その後は0byte応答

一度だけダウンロードに成功するスクリプトはこれ。

利用されているURLは「インジェクション - 3129」と同じなのですがスクリプトが異なります。

大きな差分はjabber.phpのダウンロードと最後の<applet>指定でのダウンロード部分です。

<applet>指定のダウンロードは珍しいですかね。

http://www.virustotal.com/analisis/01a584d110ffb15ff294ee6224b80c9d73c253668c04c1cd9f4ee4b7bda2f5b2-1266575297

(16/41)


どちらもスクリプトがダウンロードできるようになるまでに数日かかるのは共通ですが、そのスクリプトが一回だけなのか、何日間はダウンロード可能になるのかが違いますね。アクセス制御とサーバーへのコンテンツ配置、削除のタイミングが絡んで若干複雑に見えるのでしょうか。

[カテゴリ:インジェクション観察日記]

by jyake