Sto analizzando un vecchio attacco e ho ottenuto uno scenario che per me non ha alcun senso.
L'utente malintenzionato si collega al servizio ftp ed esegue un "FTP RNFR ././test" di gruppo. Questo viene rilevato da Snort come alert con sid 1: 1622 Non capisco perché l'attaccante lo faccia. Il suo prossimo passo è PWD seguito da CWD (snort sid 1: 1672)
Non capisco i passaggi e il loro scopo da parte dell'attaccante, cosa stava cercando.
L'autore dell'attacco stava cercando di sfruttare il CVE-1999-0081 vulnerabilità di WU-FTPD senza patch, dove un bug del software permette a RNFR Rinomina da comandi per sovrascrivere o rinominare i file, anche se questi comandi violano le autorizzazioni dei file e quando viene utilizzato un parametro di input senza escape utilizzando il percorso relativo che punta alla directory root ( ././ ). I seguenti comandi ( PWD Stampa directory di lavoro e CWD Modifica directory di lavoro ) suggeriscono che il tentativo di exploit non ha avuto successo, altrimenti RNFR ( Rinomina Da specificare un file da rinominare sarebbe molto probabilmente seguito dal comando RNTO ( Rename To ) (probabilmente per rinominare il percorso root e rimuovere i permessi sui file sull'intera struttura della directory FTP? ). L'utente malintenzionato ha quindi recuperato la sua posizione corrente all'interno della struttura delle directory FTP ( PWD ) e ha navigato in un'altra posizione all'interno di essa ( CWD ). CWD prende comunque un argomento per la nuova posizione, quindi non posso dire quale potrebbe essere il suo prossimo passo sulla base delle informazioni fornite.