decimal

최근 호스트 주소에 숫자값으로 적힌 로그들이 유행하는듯 하다

샘플을 보면 오픈바스(http://www.openvas.org) 스캐너를 이용한 스캔 공격이고 호스트 부분에 숫자값이 적힌 공격 로그라는 점을 알 수 있다

공격자가 아무 생각없이 날렸을거 같진 않고 확인해보니 http:// 주소에 Integer 이든 Hexadecimal 등 숫자값으로 와도 자동변환되는 구조다

즉, 8진수를 넣든 16진수를 넣든 저 공격은 통한다는 것이다

MS에서 그렇게 만들었으니 그런가 보다 ;;

* 해당 아이피는 임의대로 변환한 값으로 공격 대상과는 연관이 없다

GET /openstock/scr/soustab.php?dsn[phptype]=../../../../../../../../../../../etc/passwd%00 HTTP/1.1..Connection: Keep-Alive..Host: 3555159218..Pragma: no-cache..Cache-Control: no-cache..User-Agent: Mozilla/5.0 (X11, U; OpenVAS 8.0.9_Tra)..Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*..Accept-Language: en..Accept-Charset: iso-8859-1,*,utf-8..."

변환을 쉽게 확인

http://www.silisoftware.com/tools/ipconverter.php?convert_from=3555159218

- 18년 무더운 어느날 메모장 보다가 옮김 -