今日もインジェクション(5/24) ASCIIコード利用
Published: 2008/05/24
いっぱいたまってきました。海外のセキュリティ関連の人たちからもfull listという形で公開されているものが多数ありますが、すでにfullとは遠い状態であったり、広告系(古いものも含め)や、数ヶ月前に対策済みのドメインまで含まれていたりと、リスト作成側も攻撃側もかなりカオスな感じになってますね。すべてのRFI、インジェクションを含めると現状の数十倍(もっと?)あるのではないでしょうか。
追加分はおいおい掲載していきたいと思いますが、ちょっと特徴的なものを数例あげていきます。今回の例は、「誘導URLの工夫は続く」で書いた手法の一つでURLが文字列そのままではなくASCIIコード化されて注入されています。こんな感じで。
http://%61%31%38%38%2E%77%73/*.js
これでも問題なく機能します。
%61%31%38%38%2E%77%73
「a188.ws」のこと。
Domain Name: A188.WS Registrar Name: Directi Internet Solutions Pvt. Ltd. DBA Domain created on 2008-04-12 23:47:46 Domain last updated on 2008-04-12 23:47:46 Current Nameservers: ns1.superdns.org ns2.superdns.org
ちょっと前のものですね。
今日もインジェクション(5/17)でも触れていますが「s.see9.us」や「sb.5252.ws」と同じIPアドレスです。同じIPアドレスだった「s.see9.us」はアドレス解決できなくなっています。
%73%61%79%38%2E%75%73
「say8.us」のこと。
Domain Name: SAY8.US Domain ID: D16812244-US Sponsoring Registrar: ENOM, INC. Domain Status: clientTransferProhibited Registrant ID: D7350328031 Registrant Name: bobo bobo Registrant Organization: bobo Registrant Address1: hunanlinwuxianchengguan Registrant City: hunan Registrant State/Province: Beijing Registrant Postal Code: 564856 Registrant Country: China Registrant Country Code: CN Name Server: DNS1.NAME-SERVICES.COM Name Server: DNS2.NAME-SERVICES.COM Name Server: DNS3.NAME-SERVICES.COM Name Server: DNS4.NAME-SERVICES.COM Created by Registrar: ENOM, INC. Last Updated by Registrar: ENOM, INC. Domain Registration Date: Wed May 21 07:40:30 GMT 2008 Domain Expiration Date: Wed May 20 23:59:59 GMT 2009 Domain Last Updated Date: Wed May 21 07:42:04 GMT 2008
5/23 23:00ごろまでは「a188.ws」と同じでしたが、その後b.kaobt.cnやd.godaand.cnと関連するIPアドレスに変わりました。5/23 15:30ごろまではDNSラウンドロビンしてましたが、現状は1台のようです。
ww1.pigzd.cn
からRealPlayer10,11などの脆弱性を狙ういつものセットをダウンロードしてきます。この「ww1.pigzd.cn」も同じIPアドレスです。
%76%63%63%64%2E%63%6E
「vccd.cn」のこと。
Domain Name: vccd.cn ROID: 20061222s10001s06178545-cn Domain Status: ok Registrant Organization: 臼奨嵐利仟佶利大室宝嗤・巷望 Registrant Name: 35w Name Server:dns13.hichina.com Name Server:dns14.hichina.com Registration Date: 2006-12-22 20:07 Expiration Date: 2008-12-22 20:07
ちょっと古いですね。系統的には別系統のようです。
いつもの「js.users.51.la」とそのほか2つのURLに段々にジャンプしていきますね。
それ以外の詳細は不明。
by jyake