[Snort-users] Stream4 Mangling?

SRH-Lists giermo at ...8381...
Thu May 27 11:14:08 EDT 2004


According to snort, this packet happened.  I have the full pcap of the
session if it is needed to recreate the error.  Needless to say, there
was no such packet on the wire or in the pcap, it is two separate
packets, one from the client and a response from the server bashed
together.  Note the 0A0D0A0D after the cookie, that is where this packet
should really end.

snort 2.1.2 on OpenBSD 3.4



------------------------------------------------------------------------
Count:3 Event#5.6665 2004-05-27 17:35:22
WEB-MISC cross site scripting attempt
a.b.c.d -> e.f.g.h
IPVer=4 hlen=5 tos=16 dlen=2689 ID=0 flags=0 offset=0 ttl=240 chksum=1
Protocol: 6 sport=1695 -> dport=80

Seq=123311182 Ack=1480851998 Off=5 Res=0 Flags=***AP*** Win=16560 urp=0
chksum=0
Payload:
47 45 54 20 2F 45 6D 62 6C 69 62 72 61 72 79 2F GET /xxxxxxxxxx/
70 72 6F 64 75 63 74 2E 61 73 70 3F 63 61 74 61 product.asp?cata
6C 6F 67 25 35 46 6E 61 6D 65 3D 45 6D 62 6C 69 log%5Fname=xxxxx
62 72 61 72 79 26 63 61 74 65 67 6F 72 79 25 35 xxxxx&category%5
46 6E 61 6D 65 3D 41 6D 65 72 69 63 61 6E 2B 45 Fname=American+E
61 67 6C 65 73 2B 25 32 44 2B 48 65 61 64 26 70 agles+%2D+Head&p
72 6F 64 75 63 74 25 35 46 69 64 3D 4A 31 34 36 roduct%5Fid=J146
38 20 48 54 54 50 2F 31 2E 30 0D 0A 41 63 63 65 8 HTTP/1.0..Acce
70 74 3A 20 2A 2F 2A 0D 0A 52 65 66 65 72 65 72 pt: */*..Referer
3A 20 68 74 74 70 3A 2F 2F 77 77 77 2E 65 6D 62 : http://www.xxx
6C 69 62 72 61 72 79 2E 63 6F 6D 2F 45 6D 62 6C xxxxxxx.com/xxxx
69 62 72 61 72 79 2F 63 61 74 65 67 6F 72 79 2E xxxxxx/category.
61 73 70 3F 63 61 74 61 6C 6F 67 25 35 46 6E 61 asp?catalog%5Fna
6D 65 3D 45 6D 62 6C 69 62 72 61 72 79 26 63 61 me=Emblibrary&ca
74 65 67 6F 72 79 25 35 46 6E 61 6D 65 3D 41 6D tegory%5Fname=Am
65 72 69 63 61 6E 2B 45 61 67 6C 65 73 2B 25 32 erican+Eagles+%2
44 2B 48 65 61 64 26 50 61 67 65 3D 33 0D 0A 41 D+Head&Page=3..A
63 63 65 70 74 2D 4C 61 6E 67 75 61 67 65 3A 20 ccept-Language: 
65 6E 2D 75 73 0D 0A 55 73 65 72 2D 41 67 65 6E en-us..User-Agen
74 3A 20 4D 6F 7A 69 6C 6C 61 2F 34 2E 30 20 28 t: Mozilla/4.0 (
63 6F 6D 70 61 74 69 62 6C 65 3B 20 4D 53 49 45 compatible; MSIE
20 36 2E 30 3B 20 57 69 6E 64 6F 77 73 20 4E 54  6.0; Windows NT
20 35 2E 30 29 0D 0A 48 6F 73 74 3A 20 77 77 77  5.0)..Host: www
2E 65 6D 62 6C 69 62 72 61 72 79 2E 63 6F 6D 0D .xxxxxxxxxx.com.
0A 43 6F 6E 6E 65 63 74 69 6F 6E 3A 20 4B 65 65 .Connection: Kee
70 2D 41 6C 69 76 65 0D 0A 43 6F 6F 6B 69 65 3A p-Alive..Cookie:
20 4D 53 43 53 50 72 6F 66 69 6C 65 3D 39 35 33  MSCSProfile=953
38 35 41 31 46 35 32 44 45 41 31 41 32 32 39 44 85A1F52DEA1A229D
35 42 33 37 35 34 32 30 35 34 34 36 34 38 35 37 5B37542054464857
39 35 39 43 41 44 34 37 36 33 44 33 32 44 34 37 959CAD4763D32D47
36 36 45 34 43 41 42 34 31 38 31 34 34 33 39 31 66E4CAB418144391
31 46 42 38 43 35 45 37 44 33 31 33 36 41 46 45 1FB8C5E7D3136AFE
--cut--
42 44 37 41 33 45 46 45 43 36 35 30 35 32 42 42 BD7A3EFEC65052BB
41 44 42 38 42 44 30 39 46 42 46 35 41 39 38 33 ADB8BD09FBF5A983
32 43 32 30 38 37 32 45 37 33 44 35 43 36 34 43 2C20872E73D5C64C
46 42 30 36 33 45 42 35 46 45 41 45 42 34 42 42 FB063EB5FEAEB4BB
41 44 3B 20 41 53 50 53 45 53 53 49 4F 4E 49 44 AD; ASPSESSIONID
43 43 41 42 51 41 43 42 3D 50 48 4A 4E 49 4B 49 CCABQACB=PHJNIKI
43 41 4D 4D 4A 44 4E 4A 50 4E 42 4F 4B 47 4C 48 CAMMJDNJPNBOKGLH
44 0D 0A 0D 0A 65 3D 22 43 4F 4C 4F 52 3A 30 30 D....e="COLOR:00
30 30 30 30 3B 20 46 4F 4E 54 3A 20 31 33 70 74 0000; FONT: 13pt
2F 31 35 70 74 20 76 65 72 64 61 6E 61 22 3E 3C /15pt verdana"><
21 2D 2D 50 72 6F 62 6C 65 6D 2D 2D 3E 54 68 65 !--Problem-->The
20 70 61 67 65 20 63 61 6E 6E 6F 74 20 62 65 20  page cannot be 
66 6F 75 6E 64 3C 2F 68 31 3E 0D 0A 20 20 20 20 found</h1>..    
3C 2F 74 64 3E 0D 0A 20 20 3C 2F 74 72 3E 0D 0A </td>..  </tr>..
20 20 0D 0A 20 20 3C 74 72 3E 0D 0A 20 20 20 20   ..  <tr>..    
3C 74 64 20 77 69 64 74 68 3D 22 34 30 30 22 20 <td width="400" 
63 6F 6C 73 70 61 6E 3D 22 32 22 3E 0D 0A 09 3C colspan="2">...<
66 6F 6E 74 20 73 74 79 6C 65 3D 22 43 4F 4C 4F font style="COLO
52 3A 30 30 30 30 30 30 3B 20 46 4F 4E 54 3A 20 R:000000; FONT: 
38 70 74 2F 31 31 70 74 20 76 65 72 64 61 6E 61 8pt/11pt verdana
22 3E 54 68 65 20 70 61 67 65 20 79 6F 75 20 61 ">The page you a
72 65 20 6C 6F 6F 6B 69 6E 67 20 66 6F 72 20 6D re looking for m
69 67 68 74 20 68 61 76 65 20 62 65 65 6E 20 72 ight have been r
65 6D 6F 76 65 64 2C 20 68 61 64 20 69 74 73 20 emoved, had its 
6E 61 6D 65 20 63 68 61 6E 67 65 64 2C 20 6F 72 name changed, or
20 69 73 20 74 65 6D 70 6F 72 61 72 69 6C 79 20  is temporarily 
75 6E 61 76 61 69 6C 61 62 6C 65 2E 3C 2F 66 6F unavailable.</fo
6E 74 3E 3C 2F 74 64 3E 0D 0A 20 20 3C 2F 74 72 nt></td>..  </tr
3E 0D 0A 20 20 0D 0A 20 20 3C 74 72 3E 0D 0A 20 >..  ..  <tr>.. 
20 20 20 3C 74 64 20 77 69 64 74 68 3D 22 34 30    <td width="40
30 22 20 63 6F 6C 73 70 61 6E 3D 22 32 22 3E 0D 0" colspan="2">.
0A 09 3C 66 6F 6E 74 20 73 74 79 6C 65 3D 22 43 ..<font style="C
4F 4C 4F 52 3A 30 30 30 30 30 30 3B 20 46 4F 4E OLOR:000000; FON
54 3A 20 38 70 74 2F 31 31 70 74 20 76 65 72 64 T: 8pt/11pt verd
61 6E 61 22 3E 0D 0A 0D 0A 09 3C 68 72 20 63 6F ana">.....<hr co
6C 6F 72 3D 22 23 43 30 43 30 43 30 22 20 6E 6F lor="#C0C0C0" no
73 68 61 64 65 3E 0D 0A 09 0D 0A 20 20 20 20 3C shade>.....    <
70 3E 50 6C 65 61 73 65 20 74 72 79 20 74 68 65 p>Please try the
20 66 6F 6C 6C 6F 77 69 6E 67 3A 3C 2F 70 3E 0D  following:</p>.
0A 0D 0A 09 3C 75 6C 3E 0D 0A 20 20 20 20 20 20 ....<ul>..      
3C 6C 69 3E 49 66 20 79 6F 75 20 74 79 70 65 64 <li>If you typed
20 74 68 65 20 70 61 67 65 20 61 64 64 72 65 73  the page addres
73 20 69 6E 20 74 68 65 20 41 64 64 72 65 73 73 s in the Address
20 62 61 72 2C 20 6D 61 6B 65 20 73 75 72 65 20  bar, make sure 
74 68 61 74 20 69 74 20 69 73 20 73 70 65 6C 6C that it is spell
65 64 20 63 6F 72 72 65 63 74 6C 79 2E 3C 62 72 ed correctly.<br
3E 0D 0A 20 20 20 20 20 20 3C 2F 6C 69 3E 0D 0A >..      </li>..
09 20 20 0D 0A 20 20 20 20 20 20 3C 6C 69 3E 4F .  ..      <li>O
70 65 6E 20 74 68 65 20 0D 0A 09 20 20 0D 0A 09 pen the ...  ...
20 20 3C 73 63 72 69 70 74 3E 0D 0A 09 20 20 3C   <script>...  <
21 2D 2D 0D 0A 09 20 20 69 66 20 28 21 28 28 77 !--...  if (!((w
69 6E 64 6F 77 2E 6E 61 76 69 67 61 74 6F 72 2E indow.navigator.
75 73 65 72 41 67 65 6E 74 2E 69 6E 64 65 78 4F userAgent.indexO
66 28 22 4D 53 49 45 22 29 20 3E 20 30 29 20 26 f("MSIE") > 0) &
26 20 28 77 69 6E 64 6F 77 2E 6E 61 76 69 67 61 & (window.naviga
74 6F 72 2E 61 70 70 56 65 72 73 69 6F 6E 2E 63 tor.appVersion.c
68 61 72 41 74 28 30 29 20 3D 3D 20 22 32 22 29 harAt(0) == "2")
29 29 0D 0A 09 20 20 7B 20 0D 0A 09 20 20 09 48 ))...  { ...  .H
6F 6D 65 70 61 67 65 28 29 3B 0D 0A 09 20 20 7D omepage();...  }
0D 0A 09 20 20 2F 2F 2D 2D 3E 0D 0A 09 20 20 20 ...  //-->...   
3C 2F 73 63 72 69 70 74 3E 0D 0A 0D 0A 09 20 20 </script>.....  
20 68 6F 6D 65 20 70 61 67 65 2C 20 61 6E 64 20  home page, and 
74 68 65 6E 20 6C 6F 6F 6B 20 66 6F 72 20 6C 69 then look for li
6E 6B 73 20 74 6F 20 74 68 65 20 69 6E 66 6F 72 nks to the infor
6D 61 74 69 6F 6E 20 79 6F 75 20 77 61 6E 74 2E mation you want.
3C 2F 6C 69 3E 0D 0A 09 20 20 20 0D 0A 20 20 20 </li>...   ..   
20 20 20 3C 6C 69 3E 43 6C 69 63 6B 20 74 68 65    <li>Click the
20 3C 61 20 68 72 65 66 3D 22 6A 61 76 61 73 63  <a href="javasc
72 69 70 74 3A 68 69 73 74 6F 72 79 2E 62 61 63 ript:history.bac
6B 28 31 29 22 3E 42 61 63 6B 3C 2F 61 3E 20 62 k(1)">Back</a> b
75 74 74 6F 6E 20 74 6F 20 74 72 79 20 61 6E 6F utton to try ano
74 68 65 72 20 6C 69 6E 6B 2E 3C 2F 6C 69 3E 0D ther link.</li>.
0A 20 20 20 20 3C 2F 75 6C 3E 0D 0A 20 20 20 20 .    </ul>..    
0D 0A 20 20 20 20 3C 68 32 20 73 74 79 6C 65 3D ..    <h2 style=
22 66 6F 6E 74 3A 38 70 74 2F 31 31 70 74 20 76 "font:8pt/11pt v
65 72 64 61 6E 61 3B 20 63 6F 6C 6F 72 3A 30 30 erdana; color:00
30 30 30 30 22 3E 48 54 54 50 20 34 30 34 20 2D 0000">HTTP 404 -
20 46 69 6C 65 20 6E 6F 74 20 66 6F 75 6E 64 3C  File not found<
62 72 3E 0D 0A 20 20 20 20 49 6E 74 65 72 6E 65 br>..    Interne
74 20 49 6E 66 6F 72 6D 61 74 69 6F 6E 20 53 65 t Information Se
72 76 69 63 65 73 3C 42 52 3E 3C 2F 68 32 3E 0D rvices<BR></h2>.
0A 09 20 0D 0A 09 3C 68 72 20 63 6F 6C 6F 72 3D .. ...<hr color=
22 23 43 30 43 30 43 30 22 20 6E 6F 73 68 61 64 "#C0C0C0" noshad
65 3E 0D 0A 09 0D 0A 09 3C 70 3E 54 65 63 68 6E e>......<p>Techn
69 63 61 6C 20 49 6E 66 6F 72 6D 61 74 69 6F 6E ical Information
20 28 66 6F 72 20 73 75 70 70 6F 72 74 20 70 65  (for support pe
72 73 6F 6E 6E 65 6C 29 3C 2F 70 3E 0D 0A 09 0D rsonnel)</p>....
0A 3C 75 6C 3E 0D 0A 3C 6C 69 3E 4D 6F 72 65 20 .<ul>..<li>More 
69 6E 66 6F 72 6D 61 74 69 6F 6E 3A 3C 62 72 3E information:<br>
0D 0A 3C 61 20 68 72 65 66 3D 22 68 74 74 70 3A ..<a href="http:
2F 2F 77 77 77 2E 6D 69 63 72 6F 73 6F 66 74 2E //www.microsoft.
63 6F 6D 2F 43 6F 6E 74 65 6E 74 52 65 64 69 72 com/ContentRedir
65 63 74 2E 61 73 70 3F 70 72 64 3D 69 69 73 26 ect.asp?prd=iis&
73 62 70 3D 26 70 76 65 72                      sbp=&pver




More information about the Snort-users mailing list