Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Con attivato il “default security profile” sul segmento di traffico su cui transita il
traffico diretto a dei server web aziendali, possiamo trovare sotto la voce ”Block Log”
le notifiche di traffico bloccato.
Nel caso specifico l’attacco segnalato riguarda un attacco sfruttando una vulnerabilità
di una applicazione scritta in php. Si possono avere maggiori dettagli cliccando sul link
contenente il nome della vulnerabilità.
Per analizzare in dettaglio le caratteristiche dell’attacco si può cambiare l’azione
predefinita assegnata alla signature comparsa nei log, cambiando da “block+notify” a
“block+notify+trace” l’azione assegnata in modo da avere una copia dei pacchetti
passati che contengono l’attacco appena bloccato. Così facendo non solo verrà
bloccato e loggato l’attacco ma avremmo anche modo di analizzarlo a posteriori con
un tool di analisi del traffico come Wireshark.
In seguito all’attivazione di questa nuova azione nei log troveremo anche un’immagine
con un floppy che ci indicherà che di quel pacchetto possiamo anche scaricare la trace
(ossia lo stream di pacchetti contenenti l’attacco) per ulteriori analisi.
Cliccando sull’icona di salvataggioe salvando il file per l’analisi sul proprio pc
[o] Exploit
http://localhost/[path]/administrator/components/com_joomla-
visites/core/include/myMailer.class.php?mosConfig_absolute_path=[evilcode]
[o] Publish
http://milw0rm.com/exploits/5497
http://blacklight.gotdns.org/forum/viewtopic.php?t=3008&sid=ed6171e9b7e433ffcd96
46175dfda4b9
tool di scansione per rilevare possibili url vulnerabili su Joomla disponbile qui:
http://www.darkc0de.com/scanners/joomlascan.py
Come ultima nota si può scaricare il file, una finta gif, che veniva passato in input alla
nostra applicazione web vulnerabile e aprendolo con un editor esadecimale si può
osservare del codice php contenuto in esso: