有人可以解释一下这个日志数据吗?我想分析一下
Can someone please explain this log data? I want to analyze it
AAF_BurpSuit_withlogin
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812,HTTP,192.168.56.1 中找到了模式,{.conf} ,44596,172.17.0.2,80,]
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812 中找到了模式,{/web.config.bak} ,HTTP,192.168.56.1,44596,172.17.0.2,80,]
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812,HTTP,192.168.56.1 中找到了模式,{.conf} ,44596,172.17.0.2,80,]
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812 中找到了模式,{/web.config.bak} ,HTTP,192.168.56.1,44596,172.17.0.2,80,]
AAF_burpsuit
[12 月 19 日 17:25:02 osboxes aaf.alerts:WAF/1:SQL 注入警报!! : 找到模式 yXPt=1916%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F ..%2Fetc%2Fpasswd%27%29%23,[1576794302,HTTP,192.168.56.1,60728,192.168.56.10,80,]
[12 月 19 日 17:25:02 osboxes aaf.alerts:WAF/7/6:XSS/Directory 遍历警告!! : 找到模式 yXPt=1916%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F ..%2Fetc%2Fpasswd%27%29%23,[1576794302,HTTP,192.168.56.1,60728,192.168.56.10,80,]
AAF_ZAP
12 月 19 日 16:43:19 osboxes aaf.alerts:消息重复 12 次:[ Founddddd patterns,{%2F..%2F..%2F..%2F } in 192.168.56.10/images /?C=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F.. %2F..%2F..%2F..%2F..%2Fetc%2Fpasswd [1576791799,HTTP,192.168.56.1,57067,192.168.56.10,80,]]
12 月 19 日 16:43:19 osboxes aaf.alerts:在 192.168.56.10/images/?C=.. %2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F ..%2F..%2F..%2Fetc%2Fpasswd [1576791799,HTTP,192.168.56.1,57067,172.17.0.2,80,]
BurpSuite(由 PortSwigger 开发)和 ZAP(Zed Attack Proxy,由 OWASP 开发)用作渗透测试工具。日志来自哪里? OS?你的具体问题是什么?在我看来,通过使用 BurpSuite 和 ZAP 对那里列出的 IP 进行目录遍历尝试正在发生。
第一个块表示它找到了 webconfig 备份文件,第二个块表示 WAF(Web 应用程序防火墙)检测到针对该 passwd 目录的 SQL 注入漏洞(或攻击)(这是典型的目录遍历攻击)
%2F 是 URL 斜线字符“/”的编码。因此,攻击者将以这种形式格式化他们的有效负载,这样当您的后端服务器摄取代码时,浏览器会将其解释为斜杠。
此外,(仅供将来参考和良好实践提示)请注意 copy/pasting 此处的日志,因为有时它们会包含对您的组织敏感的数据,您可能无法识别这些数据,并且可能会显示world 是一个安全漏洞(别担心,在这种情况下不是我所看到的,因为 IP 是本地的)
但是,如果这些日志来自您自己的 WAF 或后端服务器,以上内容应该可以帮到您。
AAF_BurpSuit_withlogin
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812,HTTP,192.168.56.1 中找到了模式,{.conf} ,44596,172.17.0.2,80,]
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812 中找到了模式,{/web.config.bak} ,HTTP,192.168.56.1,44596,172.17.0.2,80,]
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812,HTTP,192.168.56.1 中找到了模式,{.conf} ,44596,172.17.0.2,80,]
12 月 12 日 15:16:52 osboxes aaf.alerts:在 192.168.56.10/passwords/web.config.bak [1576181812 中找到了模式,{/web.config.bak} ,HTTP,192.168.56.1,44596,172.17.0.2,80,]
AAF_burpsuit
[12 月 19 日 17:25:02 osboxes aaf.alerts:WAF/1:SQL 注入警报!! : 找到模式 yXPt=1916%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F ..%2Fetc%2Fpasswd%27%29%23,[1576794302,HTTP,192.168.56.1,60728,192.168.56.10,80,]
[12 月 19 日 17:25:02 osboxes aaf.alerts:WAF/7/6:XSS/Directory 遍历警告!! : 找到模式 yXPt=1916%20AND%201%3D1%20UNION%20ALL%20SELECT%201%2CNULL%2C%27%3Cscript%3Ealert%28%22XSS%22%29%3C%2Fscript%3E%27%2Ctable_name%20FROM%20information_schema.tables%20WHERE%202%3E1--%2F%2A%2A%2F%3B%20EXEC%20xp_cmdshell%28%27cat%20..%2F..%2F ..%2Fetc%2Fpasswd%27%29%23,[1576794302,HTTP,192.168.56.1,60728,192.168.56.10,80,]
AAF_ZAP
12 月 19 日 16:43:19 osboxes aaf.alerts:消息重复 12 次:[ Founddddd patterns,{%2F..%2F..%2F..%2F } in 192.168.56.10/images /?C=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F.. %2F..%2F..%2F..%2F..%2Fetc%2Fpasswd [1576791799,HTTP,192.168.56.1,57067,192.168.56.10,80,]]
12 月 19 日 16:43:19 osboxes aaf.alerts:在 192.168.56.10/images/?C=.. %2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F ..%2F..%2F..%2Fetc%2Fpasswd [1576791799,HTTP,192.168.56.1,57067,172.17.0.2,80,]
BurpSuite(由 PortSwigger 开发)和 ZAP(Zed Attack Proxy,由 OWASP 开发)用作渗透测试工具。日志来自哪里? OS?你的具体问题是什么?在我看来,通过使用 BurpSuite 和 ZAP 对那里列出的 IP 进行目录遍历尝试正在发生。 第一个块表示它找到了 webconfig 备份文件,第二个块表示 WAF(Web 应用程序防火墙)检测到针对该 passwd 目录的 SQL 注入漏洞(或攻击)(这是典型的目录遍历攻击)
%2F 是 URL 斜线字符“/”的编码。因此,攻击者将以这种形式格式化他们的有效负载,这样当您的后端服务器摄取代码时,浏览器会将其解释为斜杠。
此外,(仅供将来参考和良好实践提示)请注意 copy/pasting 此处的日志,因为有时它们会包含对您的组织敏感的数据,您可能无法识别这些数据,并且可能会显示world 是一个安全漏洞(别担心,在这种情况下不是我所看到的,因为 IP 是本地的) 但是,如果这些日志来自您自己的 WAF 或后端服务器,以上内容应该可以帮到您。