This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Topics - MKE-BIO

Pages: [1]
1
Hola,
Estoy analizando un pcap y he encontrado una serie de paquetes TCP (unos 150) que contienen unos campos en las cabeceras con unos caracteres y números que no soy capaz de entender. ¿Alguien sabe qué es?

El cliente manda unos "GET /? numero" al servidor Apache y el servidor no envía respuesta mas allá de los ACKs. Parece ser algún tipo de exploit.

Aquí hay un par de ejemplos:

        GET /?234 HTTP/1.1
   User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_1) AppleWebKit/602.2.14 (KHTML, like Gecko) Version/10.0.1 Safari/602.2.14
   Accept-language: en-US,en,q=0.5
   meRFiuHRKK: 1011
   lmXHXBKP: 1335
   CvLgljhIm: 4929
   wOPnLjldiMmuPI: 323
   bkyqNBZVBZtY: 776
   mKUfCLAjLpUims: 4914
   VwiOOBWhoGnZg: 3418
   HylDfOQSwHMve: 1966
   
   GET /?587 HTTP/1.1
   User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:49.0) Gecko/20100101 Firefox/49.0
   Accept-language: en-US,en,q=0.5
   xshxoQjRo: 2368
   blXlMwQOuaLIKvHA: 383
   unFEBgIaOgTyjEv: 4268
   PaPIFTpgADq: 1932
   lPVecIHiaVBjqs: 108
   SvYTWxAnPgM: 1162
   HklrkTVq: 3438
   VaUTHBzRkibu: 445

¿Cómo están codificados los caracteres?
He buscado durante horas en Google para ver qué significan, pero no puedo encontrar algo que me oriente.

Muchas gracias.

Pages: [1]