Re: Как можно узнать список локальных пользователей?

To: Roman Sozinov <levsha@newmail.ru>, debian-russian <debian-russian@lists.debian.org>
Subject: Re: Как можно узнать список локальных пользователей?
From: Alexander Gerasiov <gq@cs.msu.su>
Date: Fri, 04 Aug 2006 13:16:43 +0400
Message-id: <[🔎] 44D3107B.3030003@cs.msu.su>
In-reply-to: <[🔎] 5646653.post@talk.nabble.com>
References: <[🔎] 5645722.post@talk.nabble.com> <[🔎] 200608041112.39214.bart@solarnet.ru> <[🔎] 5645802.post@talk.nabble.com> <[🔎] 200608041123.25260.bart@solarnet.ru> <[🔎] 5645994.post@talk.nabble.com> <[🔎] 1154678627.3961.13.camel@fluorescence.samdu.uz.samdu.uz> <[🔎] 1154679226.3961.16.camel@fluorescence.samdu.uz.samdu.uz> <[🔎] 5646653.post@talk.nabble.com>

Roman Sozinov wrote:
> 
> shawkat@samdu.uz wrote:
> 
>>вот что было в том давнем отчете - похоже это как раз такой случай
>>                               
>>                          Поиск пользователей 
>>                                Описание
>>                                    
>>                    При включенном на сервере модуле
>>                    mod_userdir возможно определение
>>                   наличия пользователя в системе. В
>>                       дальнейшем атакующий может
>>                    воспользоваться этим для подбора
>>                  пароля к существующему пользователю.
>>                                    
>>                            Например: /~root
>>                                    
>>                                Решение
>>                                    
>>                     Отключить использование модуля
>>                              mod_userdir.
>>                                    
>>                                 Ссылки
>> 
> 
> Спасибо за ссылку, запустил проверку. 
> Ну c /~root всё понятно - все знают, что такой пользователь есть. Но это не
> уязвимость - директория рута не доступна для чтения apache-пользователю,
> поэтому не стоит об этом беспокоиться.
> Но как можно обнаружить других пользователей системы с помощью модуля
> mod_userdir? - вот вопрос! Какие в этом модуле слабые места?
Например вариант такой: при помощи запросов вида /~username найти
существующего пользоватея и затем уже брутфорсить с ним ссх.
Посмотри логи апача.

Reply to:

Follow-Ups:
- Re: Как можно узнать список локальных пользователей?
  - From: Roman Sozinov <levsha@newmail.ru>

References:
- Как можно узнать список локальных пользователей?
  - From: Roman Sozinov <levsha@newmail.ru>
- Re: Как можно узнать список локальных пользователей?
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: Как можно узнать список локальных пользователей?
  - From: Roman Sozinov <levsha@newmail.ru>
- Re: Как можно узнать список локальных пользователей?
  - From: Mikhail A Antonov <bart@solarnet.ru>
- Re: Как можно узнать список локальных пользователей?
  - From: Roman Sozinov <levsha@newmail.ru>
- Re: Как можно узнать список локальных пользователей?
  - From: Nizamov Shawkat <shawkat@samdu.uz>
- Re: Как можно узнать список локальных пользователей?
  - From: Nizamov Shawkat <shawkat@samdu.uz>
- Re: Как можно узнать список локальных пользователей?
  - From: Roman Sozinov <levsha@newmail.ru>

Prev by Date: Re: Как можно узнать список локальных пользователей?
Next by Date: Re: Как можно узнать список локальных пользователей?
Previous by thread: Re: Как можно узнать список локальных пользователей?
Next by thread: Re: Как можно узнать список локальных пользователей?
Index(es):
- Date
- Thread