Estoy analizando un ataque antiguo y tengo un escenario que realmente no tiene sentido para mí.
El atacante se conecta al servicio ftp y ejecuta un montón de "FTP RNFR ././ intento". Esto es capturado por snort como alerta con sid 1: 1622 No entiendo por qué el atacante hace eso. Su siguiente paso es PWD seguido de CWD (snort sid 1: 1672)
No entiendo los pasos y el propósito de ellos por parte del atacante, lo que estaba buscando.
El atacante intentaba explotar el CVE-1999-0081 Vulnerabilidad de instalaciones WU-FTPD sin parches, donde un error de software permite RNFR Cambiar nombre de em para sobrescribir o cambiar el nombre de los archivos, incluso si estos comandos violan los permisos de los archivos y cuando se usa un parámetro de entrada sin escape que usa una ruta relativa que apunta a la raíz del directorio ( ././ ). Los siguientes comandos ( PWD Print Working Directory , y CWD Change Working Directory ) sugieren que el intento de explotación no tuvo éxito, de lo contrario, RNFR ( Rename ¿Desde especificar un archivo para cambiar el nombre) lo más probable es que esté seguido del comando RNTO ( Rename To ) (probablemente para cambiar el nombre de la ruta raíz y eliminar los permisos de archivo en toda la estructura de directorios de FTP? ). El atacante luego recuperó su posición actual dentro de la estructura de directorios de su FTP ( PWD ) y navegó a otra ubicación dentro de ella ( CWD ). Sin embargo, CWD toma un argumento para la nueva ubicación, por lo que no puedo decir cuál podría ser su próximo paso en función de la información que proporcionó.