我正在为特定漏洞编写 snort 规则,然后遇到了一个解决方案,其详细信息为“uid=0(root)”。有人能解释一下这是什么以及为什么要提到它,以便捕获其中包含 root 内容的数据包吗?
答案1
在 Google 上搜索的第一个结果snort uid=0是一个有用的产品文档页面,其中包含出色的解释https://www.snort.org/rule_docs/1-498
该字符串
"uid=0(root)"是命令的输出,"id"表明用户具有“root”权限。看到这样的响应表明通过网络连接到目标服务器的某个用户具有 root 权限。...
这
可能是攻击后的行为,可能表明已成功利用了易受攻击的系统。
换句话说:大多数远程攻击都会授予攻击者访问易受攻击系统的权限,但不会立即授予对系统的完全(根)访问权限。一旦授予非特权访问权限,攻击者仍需要尝试寻找第二个漏洞,以便利用该漏洞将有限的访问权限升级为完全根权限。
成功后就可以看到该字符串。