基于OpenAPI的APIcat开源日志监控软件已经开发一段时间了,在自己的网站上抓到了一些HTTP的攻击,没事,我们就汇总给大家做个赏析,也当是个提醒。
这是一篇系列文章,跳转查看更多:
对应的OpenAPI定义上传到了百家饭平台
API攻击样例详情https://rongapi.cn/api/detail/64
/public.rar
这是一类企图下载网站源码的攻击的其中一种,其他的还有
/public.rar
/public.tar
……
/public_html.rar
/public_html.tar
/public_html.tar.gz
……
/root.rar
……
/web.rar
/web.tar
/web.tar.gz
/web.zip
……
/wwwroot.rar
……
攻击的时候,直接通过HEAD请求企图获取文件信息。
/autodiscover/autodiscover.json
存在于Microsoft Exchange的一个已知泄漏点,可以用于进行远程代码执行
/
今天看到的最奇特的一个攻击,企图向我的根URL直接POST一个数据,搜索了一些资料,说是机器学习,自主攻击,也就是从根目录开始获取网站内容,再进行深入攻击?
/ywotttv.bj.chinamobile.com/PLTV/88888888/224/3221226346/1.m3u8
有趣的网站,居然是一个iptv的播放串流,第一次了解这个东西
以m3u8结尾的url就可以直接用vlc等打开:
/include/calendar/calendar-cn.js
这个攻击没有找到具体的攻击点,网上有一些攻击的例子,但是没有介绍对这个攻击具体怎么工作的,应该是通过这个js文件的读取进一步确认系统是否使用了和这个文件相关的库,从而利用该库进行攻击,搜索结果指向一款JS Calendar (com_jscalendar) component 1.5.1 and 1.5.4 for Joomla!的SQL注入攻击漏洞点。
/ping.js
和上面的攻击类似,也应该是通过获取js文件从而探测系统是否使用了一款有漏洞的类库,搜索结果指向一款叫express-ping的node类库,看起来是express的一个功能库,会暴露/ping作为获取系统信息的入口,但同时也暴露成了泄漏点。
/api/pay/query_order
搜索指向一款叫xxpay的统一支付平台软件,应该也是探测漏洞用的入口
/api/auth
和上面的是一套的
/owa/auth/x.js
同样指向Exchange的攻击探测口,exchange好火啊,这么多漏洞探测指向exchange。
/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application
又来一个exchange的
下周继续……