# 調査対象 ## 内部 ### 概要 - 会場ネットワークのインターネット向けトラフィック - 会場端末とインターネット間の通信がすべて見える - 172.16.0.0/12 --- ### `/admin/panel.php` > 11721 2019-08-16 16:02:03.415177 172.25.10.119 178.128.220.47 HTTP 318 POST /admin/panel.php HTTP/1.1 URL: http://sandbox.spica.bz/admin/panel.php --- ```htmlmixed POST /admin/panel.php HTTP/1.1 Host: sandbox.spica.bz User-Agent: curl/7.65.3 Accept: */* Content-Length: 252 Content-Type: multipart/form-data; boundary=------------------------0dfbe95debf43919 --------------------------0dfbe95debf43919 Content-Disposition: form-data; name="password" pnnq2nafy8KoN --------------------------0dfbe95debf43919 Content-Disposition: form-data; name="user" ito --------------------------0dfbe95debf43919-- HTTP/1.1 200 OK Server: nginx Date: Fri, 16 Aug 2019 07:03:44 GMT Content-Type: text/html; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive X-Powered-By: PHP/7.3.8 ``` --- ```html <!DOCTYPE html> <html lang="ja"> <head> <title>You cracked ;(</title> </head> <body> <script> while(alert("arrested ;(")!=="palloc"); </script> </body> </html> ``` --- #### `2019-08-16 16:02:03.415177` 辺りに送られていた - この時間帯には講義 「C5 CTF問題バリバリ作成」 が行われていた - Source IP も同じことから、作問者がデバッグをしていたのかも？ --- #### 調査 Filter: `ip.dst == 178.128.220.47 && http.request.method == POST` キャプチャした範囲をすべて調べてみたが、 `/admin/panel.php` の認証をpassしているリクエストはなかった :sob: --- ## 外部 ### 概要 - 能動的返答を行う観測ネットワーク上のトラフィック - ジャンクパケットが多い - インフラ保持用のBGPやOSPFとうの通信も含まれる - 観測サーバの応答パケも含まれる --- 割合としては, - tcp: 76240 - http: 941 - ICMP: 673 - BGP: 347 - arp: 147 - dns: 68 --- ### *.phpファイルに対してdie(md5(*))してくるやつ - 77379キャプチャ中のうちこれに関するパケットは25() --- ### `/data.php` >16251 2019-08-16 15:52:00.914111 111.161.41.86 163.220.202.22 HTTP 335 POST /data.php HTTP/1.1 (application/x-www-form-urlencoded) 23490 80 163.220.202.22 http://163.220.202.22/data.php ``` get ``` die(md5(*))に対して、Webshellがあるとハッシュ値返すので、Webshellの有無 を確認されているらしい。 --- - 別の内容のものもあった ``` POST /infos.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:52.0) Gecko/20100101 Firefox/52.0 Host: 163.220.194.195 Content-Length: 22 Connection: Keep-Alive Cache-Control: no-cache name=die(@md5(Apri1));HTTP/1.1 200 OK Date: Fri, 16 Aug 2019 06:45:49 GMT Content-Type: text/plain; charset=UTF-8 Server: Kestrel Transfer-Encoding: chunked 4 post 0 ``` --- ### pingしてる方が2人居た >258235 2019-08-16 15:52:07.566729 8.8.8.8 103.95.184.83 ICMP 102 Echo (ping) reply id=0x05bd, seq=1/256, ttl=57 >728641 2019-08-16 15:52:20.566248 8.8.8.8 103.95.184.169 ICMP 78 Echo (ping) reply id=0x26cf, seq=23185/37210, ttl=57