Ayuda con intrusiones internas exitosas

Navega tus respuestas
1

Solicito ayuda con una infracción de acceso particular que hemos experimentado en nuestro entorno. el atacante es un empleado interno que ha tomado algunas notas sobre el entorno que simplemente no entiendo claramente.

aquí hay algunas cosas que él ha dicho que me gustaría una pequeña aclaración sobre si alguien sería lo suficientemente amable para ayudarme.

1) "Se puede acceder al enrutador a través de esta dirección - 0 x bdb38"

2) "la etiqueta de memoria (para transferir datos) subred es accesible a través de esta dirección 0x00007fff78c6f2a8"

ambos de estos comentarios me han dejado perplejo, ya que están escritos en una mano corta y no puedo interpretarlos con claridad.

    
pregunta ero10000 14.05.2014 - 17:58
fuente

1 respuesta

1

Las direcciones parecen ser números codificados en hexadecimal. El primero es de 20 bits y el segundo de 64 bits (solo se utilizan los 48 bits inferiores). El primero es 777016 en decimal y el segundo 140735219692200.

Es poco probable que sean direcciones de red. el primero es demasiado grande para ser un puerto y demasiado pequeño para ser una dirección IP. El segundo es demasiado grande para ser una dirección IPv4 y demasiado pequeño para una dirección IPv6.

Pero podrían ser direcciones de memoria de 64 bits donde la primera omite los ceros iniciales. El atacante podría haber intentado explotar una vulnerabilidad en el (los) sistema (es) que requería conocer la ubicación exacta en la memoria del sistema de algo que quería leer o manipular. Encontró estas direcciones de alguna manera y las escribió.

El segundo, sin embargo, es demasiado grande para eso. Implicaría más de 100 TB de memoria.

    
respondido por el Philipp 14.05.2014 - 18:34
fuente

Lea otras preguntas en las etiquetas

¿Son correctas mis reglas de Snort? ¿Debo mantener todos los Tokens de Portador oAuth2 generados por UUIDv4 en mi base de datos para evitar un ataque?