UJP - RobbytuProjectsからのSQLインジェクション攻撃

Life is fun and easy!
不正IP報告数

Okan Sensor
Home Information Service Tech(Free) Tech(Member) Blog FAQ
 
メイン
ログイン

ユーザー名:


パスワード:





パスワード再発行手続き  |無料会員入会手続へ...
ブログ カテゴリ一覧
  • カテゴリ セキュリティ の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - RobbytuProjectsからのSQLインジェクション攻撃

RobbytuProjectsからのSQLインジェクション攻撃

カテゴリ : 
セキュリティ » 攻撃/ブルートフォース
ブロガー : 
ujpblog 2023/11/10 12:26
 2008年から使っている某Webサーバのファンが唸りをあげているので調べたら,データベースのCPUが高負荷.
 Webアクセスログを調べると,SQLインジェクションを受けていました.

 フィンランドのヘルシンキ,パナマ,カナダ,Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている.勉強にしては手が混んでいるし素人クローラーでもなさそう.

 単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ.

$ grep "SELECT" acc.log |awk '{print $1'}|sort|uniq -c|sort -r🆑
   1616 193.56.113.14
    986 193.56.113.69
    941 193.56.113.62
    765 193.56.113.7
    709 193.56.113.47
    679 193.56.113.52
    618 193.56.113.24
    592 193.56.113.34
    589 193.56.113.43
    546 193.56.113.29
    431 193.56.113.17
    422 193.56.113.39
$
 AbuseIPDBで調べると,素性はよろしくない.



 アクセスの多いIPアドレスからのリクエストパラメータを抽出.
$ grep "193.56.113.14" acc.log.1699488000 |head -n 5|awk '{print $7}'
index.php?page=%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
index.php?page=%2D2047%20%27%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D8371%20%27%29%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29
%7C%7CCHR%2871%29%7C%7CCHR%28100%29%7C%7CCHR%28114%29%7C%7CCHR%28117%29%7C%7CCHR
%2874%29%7C%7CCHR%28100%29%7C%7CCHR%2899%29%7C%7CCHR%2872%29%20FROM%20DUAL%2D%2D
index.php?page=%2D9456%20%27%29%20ORDER%20BY%201%2D%2D
$
 最初の1つをURLデコードするとこうなる.

%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
↓
-1756 ') ORDER BY 21--


page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29%7C%7CCHR%2871%29%
↓
page=-9856 ' UNION ALL SELECT CHR(66)||CHR(79)||CHR(71)%

 CHR()という関数があるけど,ASCIIコード表から可視化してみた. 
CHR(66)|| →6
CHR(79)|| →O
CHR(71)|| →G
CHR(100)|| →d
CHR(114)|| →r
CHR(117)|| →u
CHR(74)|| →J
CHR(100)|| →d
CHR(99)|| →c
CHR(72)   →H
FROM DUAL--

↓

6oGdriKdcH
 ちょっとよくわからんな.DUAL表を使おうとしているのでOracleユーザを狙った攻撃か.

 ドメインを調べてみる.

$ whois robbytu.net🆑
   Domain Name: ROBBYTU.NET
   Registry Domain ID: 1558754632_DOMAIN_NET-VRSN
   Registrar WHOIS Server: whois.rrpproxy.net
   Registrar URL: http://www.key-systems.net
   Updated Date: 2023-06-11T07:31:55Z
   Creation Date: 2009-06-10T17:50:12Z 🈁
   Registry Expiry Date: 2024-06-10T17:50:12Z
   Registrar: Key-Systems GmbH
   Registrar IANA ID: 269
   Registrar Abuse Contact Email: abuse@key-systems.net
   Registrar Abuse Contact Phone: +49.68949396850
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: BAYAN.NS.CLOUDFLARE.COM
   Name Server: TANI.NS.CLOUDFLARE.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-11-10T03:23:03Z <<<
 2009年登録なので歴史はありそう.

 次にIPアドレスを調べてみる.

$ whois 193.56.113.14🆑
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '193.56.113.0 - 193.56.113.255'

% Abuse contact for '193.56.113.0 - 193.56.113.255' is 'abuses@cyberzonehub.com'

inetnum:        193.56.113.0 - 193.56.113.255
netname:        CYBERZ-193-56-113-0
country:        FI
geoloc:         60.2214193 24.9847017
org:            ORG-CS768-RIPE
admin-c:        AR68231-RIPE
tech-c:         AR68231-RIPE
status:         ASSIGNED PA
remarks:        Geofeed https://geofeeds.cyberzonehub.com/geofeed.csv
mnt-by:         PREFIXBROKER-MNT
created:        2023-08-23T12:41:17Z🆑
last-modified:  2023-08-23T12:41:17Z
source:         RIPE

organisation:   ORG-CS768-RIPE
org-name:       Cyberzone S.A.
org-type:       OTHER
address:        PH Bay Mall, Third Floor, Bella Vista
address:        NA Panama City
address:        Panama
abuse-c:        AR68231-RIPE
mnt-ref:        PREFIXBROKER-MNT
mnt-by:         PREFIXBROKER-MNT
created:        2022-12-07T10:21:58Z
last-modified:  2023-08-23T08:02:07Z
source:         RIPE # Filtered

role:           Abuse-C Role
address:        PANAMA
address:        Panama City
address:        0901
address:        PH Bay Mall, Third Floor, Bella Vista
abuse-mailbox:  abuses@cyberzonehub.com
nic-hdl:        AR68231-RIPE
mnt-by:         lir-pa-cyberzone-1-MNT
created:        2022-04-29T08:15:54Z
last-modified:  2022-04-29T08:15:55Z
source:         RIPE # Filtered

% Information related to '193.56.113.0/24AS209854'

route:          193.56.113.0/24
origin:         AS209854
mnt-by:         PREFIXBROKER-MNT
created:        2023-08-23T12:41:17Z
last-modified:  2023-08-23T12:41:17Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.108 (SHETLAND)


$
 2023年08月23日にパナマにあるCyberzone S.A.という会社が取得している模様.Cyberzoneで調べると

$ whois cyberzonehub.com🆑
   Domain Name: CYBERZONEHUB.COM
   Registry Domain ID: 2607139274_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.tucows.com
   Registrar URL: http://www.tucows.com 🈁カナダのレジストラの模様
   Updated Date: 2023-04-11T07:20:03Z
   Creation Date: 2021-04-23T13:00:34Z
   Registry Expiry Date: 2024-04-23T13:00:34Z
   Registrar: Tucows Domains Inc.
   Registrar IANA ID: 69
   Registrar Abuse Contact Email: domainabuse@tucows.com
   Registrar Abuse Contact Phone: +1.4165350123
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: ARYANNA.NS.CLOUDFLARE.COM
   Name Server: KENNETH.NS.CLOUDFLARE.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-11-10T04:18:56Z <<<

 このcyberzonehubという組織のWebサイトはありませんでした.まぁ素性はよろしくなさそう.

 攻撃元となっているRobbytuProjectsのサイトを見ると,1ページのシンプルな内容.


 翻訳するとこれ.


 このネット社会,爽やかな笑顔を晒すエンジニアがいるとは思えないので,ネットのフリー素材じゃ無いかと思って検索してみたけど,それっぽいものは見つからず.

 まずはGoogle Lens.


 検索結果はショッピングサイト中心のようで,Robert de Vriesなる人物が来ているシャツに似たものを売っているショッピングサイトばかり.

 次に,MicrosoftのBingで検索.


 検索結果が出てこなかった.

 次に,ロシアのYandexで検索.


 それっぽい顔写真がたくさん出てくるけど,同一な人は少ないかな.人間の特徴点は捉えているようだけど.

 そして範囲を顔部分に絞ってみた.


 特徴としては,笑顔の西洋人ばかり抽出されている感じ.

 こうしてみるとフリー素材では無いのかもしれないなぁ.

トラックバック
広告スペース
Google