Directory Traversal o File System Permessi? [chiuso]

Question

Directory Traversal o File System Permessi? [chiuso]

#1 da (1 voti)

-3

Un amministratore di rete scopre diversi file sconosciuti nella directory principale del suo server FTP Linux. Uno dei file è un tarball, due sono file di script di shell e l'ultimo è un file binario chiamato "nc_". I log di accesso del server FTP mostrano che l'account utente anonimo ha effettuato l'accesso al server, caricato i file, estratto il contenuto del tarball ed eseguito lo script utilizzando una funzione fornita dal software del server FTP. Il comando ps mostra che il file nc_* è in esecuzione come processo nc e il comando netstat mostra che il processo nc è in ascolto su una porta di rete. Che tipo di vulnerabilità deve essere presente per rendere possibile questo attacco remoto?

Directory traversal, Aumento dei privilegi, Login forza bruta o Autorizzazioni del file system

Qual è la risposta corretta?

brute-force privilege-escalation file-system directory-traversal

posta user8025572 24.05.2017 - 12:17

fonte

1 risposta

Leggi altre domande sui tag brute-force privilege-escalation file-system directory-traversal

Informa qualcuno di un account compromesso [chiuso] Strumenti per il monitoraggio del wifi? [chiuso]

score 1 · Accepted Answer

Attraversamento directory non è perché l'utente FTP ha eseguito l'accesso e ha eseguito tutte le azioni nella stessa directory. Il problema potrebbe essere che FTP era permesso in questa particolare posizione.

Login forza bruta non è perché l'ambito del problema inizia dopo il login riuscito.

Permessi del file system è una possibile risposta, ma dipende dallo scopo del sito FTP. Se consenti alle persone di caricare, apri molte porte.

L'escalation dei privilegi è molto probabile e il tuo suggerimento è stato:

ran the script using a function provided by the FTP server's software

Il progettista di domande voleva dire che l'attaccante sfruttasse una funzione vulnerabile del software FTP per consentire l'esecuzione dei binari.

Non penso che sia una grande domanda, e chiede al lettore di dimenticare qualsiasi altro contesto, ma concentrarsi sul suggerimento nel mezzo della domanda. Cerca altri tipi di suggerimenti in altre domande.