SendaiCTF2018 Net.2 攻撃元の特定 100(ネットワーク)
とりあえず、ネットでTomcatサーバの脆弱性について検索してみました。
Apache Tomcatの「Common Gateway Interface(CGI)」サーブレットに関して、遠隔からのコード実行(Remote Code Execution、RCE)の脆弱性が確認されました。この深刻度の高い脆弱性が悪用されると、攻撃者に任意のコマンドを実行されてしまう可能性があります。コマンドを実行するために、攻撃者はTomcatのCGIサーブレットが入力値を検証する際の不具合に起因するOSコマンドインジェクションを利用します。(https://blog.trendmicro.co.jp/archives/21195)
みたいに書いてありました。コマンドを実行させようとしている通信が攻撃者かなとあたりがつきます。
WireSharkでパケットを見ました。まず、HTTPにしぼります。
cmd=chmod・・・と書いてあるパケットがあるのでこれが攻撃者のものだと分かります。