ATTACK-RESPONSES id check returned userid [Archive]

soup4you2

June 11th, 2003, 13:48

What can you all tell me about this one:

[code:1:1fab102fae]
length = 1460

000 : 6F 70 72 69 6F 20 75 73 65 72 69 64 20 65 20 6C oprio userid e l
010 : 61 20 6C 69 73 74 61 0A 20 20 20 20 20 20 20 20 a lista.
020 : 20 20 64 65 69 20 67 72 75 70 70 69 20 64 69 20 dei gruppi di
030 : 61 70 70 61 72 74 65 6E 65 6E 7A 61 20 63 6F 6E appartenenza con
040 : 20 69 20 63 6F 6D 61 6E 64 69 20 3C 61 0A 20 20 i comandi <a.
050 : 20 20 20 20 20 20 20 20 68 72 65 66 3D 22 68 74 href="ht
060 : 74 70 3A 2F 2F 77 77 77 2E 46 72 65 65 42 53 44 tp://www.FreeBSD
070 : 2E 6F 72 67 2F 63 67 69 2F 6D 61 6E 2E 63 67 69 .org/cgi/man.cgi
080 : 3F 71 75 65 72 79 3D 69 64 26 73 65 6B 74 69 6F ?query=id&sektio
090 : 6E 3D 31 22 3E 0A 20 20 20 20 20 20 20 20 20 20 n=1">.
0a0 : 3C 73 70 61 6E 20 63 6C 61 73 73 3D 22 43 49 54 id(1)</s
0f0 : 70 61 6E 3E 3C 2F 61 3E 20 65 20 3C 61 0A 20 20 pan></a> e <a.
100 : 20 20 20 20 20 20 20 20 68 72 65 66 3D 22 68 74 href="ht
110 : 74 70 3A 2F 2F 77 77 77 2E 46 72 65 65 42 53 44 tp://www.FreeBSD
120 : 2E 6F 72 67 2F 63 67 69 2F 6D 61 6E 2E 63 67 69 .org/cgi/man.cgi
130 : 3F 71 75 65 72 79 3D 67 72 6F 75 70 73 26 73 65 ?query=groups&se
140 : 6B 74 69 6F 6E 3D 31 22 3E 0A 20 20 20 20 20 20 ktion=1">.
150 : 20 20 20 20 3C 73 70 61 6E 20 63 6C 61 73 73 3D <
170 : 73 70 61 6E 0A 20 20 20 20 20 20 20 20 20 20 63 span. c
180 : 6C 61 73 73 3D 22 52 45 46 45 4E 54 52 59 54 49 lass="REFENTRYTI
190 : 54 4C 45 22 3E 67 72 6F 75 70 73 3C 2F 73 70 61 TLE">groups</spa
1a0 : 6E 3E 28 31 29 3C 2F 73 70 61 6E 3E 3C 2F 61 3E n>(1)</a>
1b0 : 2E 20 53 75 0A 20 20 20 20 20 20 20 20 20 20 61 . Su. a
1c0 : 6C 63 75 6E 69 20 73 69 73 74 65 6D 69 20 3C 61 lcuni sistemi <a
1d0 : 0A 20 20 20 20 20 20 20 20 20 20 68 72 65 66 3D . href=
1e0 : 22 68 74 74 70 3A 2F 2F 77 77 77 2E 46 72 65 65 "http://www.Free
1f0 : 42 53 44 2E 6F 72 67 2F 63 67 69 2F 6D 61 6E 2E BSD.org/cgi/man.
200 : 63 67 69 3F 71 75 65 72 79 3D 69 64 26 73 65 6B cgi?query=id&sek
210 : 74 69 6F 6E 3D 31 22 3E 0A 20 20 20 20 20 20 20 tion=1">.
220 : 20 20 20 3C 73 70 61 6E 20 63 6C 61 73 73 3D 22 <s
240 : 70 61 6E 0A 20 20 20 20 20 20 20 20 20 20 63 6C pan. cl
250 : 61 73 73 3D 22 52 45 46 45 4E 54 52 59 54 49 54 ass="REFENTRYTIT
260 : 4C 45 22 3E 69 64 3C 2F 73 70 61 6E 3E 28 31 29 LE">id(1)
270 : 3C 2F 73 70 61 6E 3E 3C 2F 61 3E 20 6D 6F 73 74 </a> most
280 : 72 61 20 6C 65 0A 20 20 20 20 20 20 20 20 20 20 ra le.
290 : 69 6E 66 6F 72 6D 61 7A 69 6F 6E 69 20 73 75 6C informazioni sul
2a0 : 6C 27 75 74 65 6E 74 65 20 65 20 6C 65 20 69 6E l'utente e le in
2b0 : 66 6F 72 6D 61 7A 69 6F 6E 69 20 73 75 6C 20 67 formazioni sul g
2c0 : 72 75 70 70 6F 0A 20 20 20 20 20 20 20 20 20 20 ruppo.
2d0 : 70 72 69 6D 61 72 69 6F 2C 20 65 73 65 6D 70 69 primario, esempi
2e0 : 6F 3A 3C 2F 70 3E 0A 3C 70 72 65 20 63 6C 61 73 o:.<pre clas
2f0 : 73 3D 22 53 43 52 45 45 4E 22 3E 0A 3C 74 74 20 s="SCREEN">.<tt
300 : 63 6C 61 73 73 3D 22 50 52 4F 4D 50 54 22 3E 25 class="PROMPT">%
310 : 3C 2F 74 74 3E 20 3C 74 74 20 63 6C 61 73 73 3D </tt> <tt class=
320 : 22 55 53 45 52 49 4E 50 55 54 22 3E 3C 62 3E 69 "USERINPUT">i
330 : 64 3C 2F 62 3E 3C 2F 74 74 3E 0A 75 69 64 3D 31 d</tt>.uid=1
340 : 31 30 31 28 66 72 61 6E 6B 29 20 67 69 64 3D 31 101(frank) gid=1
350 : 30 28 73 74 61 66 66 29 0A 3C 2F 70 72 65 3E 0A 0(staff).</pre>.
360 : 0A 20 20 20 20 20 20 20 20 20 20 3C 70 3E 73 75 . su
370 : 20 61 6C 74 72 69 20 73 69 73 74 65 6D 69 20 6D altri sistemi m
380 : 6F 73 74 72 61 20 61 6E 63 68 65 20 6C 65 20 69 ostra anche le i
390 : 6E 66 6F 72 6D 61 7A 69 6F 6E 69 20 73 75 69 0A nformazioni sui.
3a0 : 20 20 20 20 20 20 20 20 20 20 67 72 75 70 70 69 gruppi
3b0 : 20 61 67 67 69 75 6E 74 69 76 69 20 64 69 20 61 aggiuntivi di a
3c0 : 70 70 61 72 74 65 6E 65 6E 7A 61 3A 3C 2F 70 3E ppartenenza:
3d0 : 0A 3C 70 72 65 20 63 6C 61 73 73 3D 22 53 43 52 .<pre class="SCR
3e0 : 45 45 4E 22 3E 0A 3C 74 74 20 63 6C 61 73 73 3D EEN">.<tt class=
3f0 : 22 50 52 4F 4D 50 54 22 3E 25 3C 2F 74 74 3E 20 "PROMPT">%</tt>
400 : 3C 74 74 20 63 6C 61 73 73 3D 22 55 53 45 52 49 <tt class="USERI
410 : 4E 50 55 54 22 3E 3C 62 3E 69 64 3C 2F 62 3E 3C NPUT">id<
420 : 2F 74 74 3E 0A 75 69 64 3D 31 31 30 31 28 66 72 /tt>.uid=1101(fr
430 : 61 6E 6B 29 20 67 69 64 3D 31 30 28 73 74 61 66 ank) gid=10(staf
440 : 66 29 20 67 72 6F 75 70 73 3D 31 30 28 73 74 61 f) groups=10(sta
450 : 66 66 29 2C 35 28 6F 70 65 72 61 74 6F 72 29 2C ff),5(operator),
460 : 31 34 28 73 79 73 61 64 6D 69 6E 29 2C 31 31 30 14(sysadmin),110
470 : 28 75 74 73 29 0A 3C 2F 70 72 65 3E 0A 0A 20 20 (uts).</pre>..
480 : 20 20 20 20 20 20 20 20 3C 70 3E 49 6C 20 63 6F Il co
490 : 6D 61 6E 64 6F 20 3C 61 0A 20 20 20 20 20 20 20 mando <a.
4a0 : 20 20 20 68 72 65 66 3D 22 68 74 74 70 3A 2F 2F href="http://
4b0 : 77 77 77 2E 46 72 65 65 42 53 44 2E 6F 72 67 2F www.FreeBSD.org/
4c0 : 63 67 69 2F 6D 61 6E 2E 63 67 69 3F 71 75 65 72 cgi/man.cgi?quer
4d0 : 79 3D 67 72 6F 75 70 73 26 73 65 6B 74 69 6F 6E y=groups&sektion
4e0 : 3D 31 22 3E 0A 20 20 20 20 20 20 20 20 20 20 3C =1">. <
4f0 : 73 70 61 6E 20 63 6C 61 73 73 3D 22 43 49 54 45 span class="CITE
500 : 52 45 46 45 4E 54 52 59 22 3E 3C 73 70 61 6E 0A REFENTRY"><span.
510 : 20 20 20 20 20 20 20 20 20 20 63 6C 61 73 73 3D class=
520 : 22 52 45 46 45 4E 54 52 59 54 49 54 4C 45 22 3E "REFENTRYTITLE">
530 : 67 72 6F 75 70 73 3C 2F 73 70 61 6E 3E 28 31 29 groups(1)
540 : 3C 2F 73 70 61 6E 3E 3C 2F 61 3E 20 6D 6F 73 74 </a> most
550 : 72 61 0A 20 20 20 20 20 20 20 20 20 20 6C 65 20 ra. le
560 : 69 6E 66 6F 72 6D 61 7A 69 6F 6E 69 20 64 69 20 informazioni di
570 : 74 75 74 74 69 20 69 20 67 72 75 70 70 69 20 64 tutti i gruppi d
580 : 69 20 61 70 70 61 72 74 65 6E 65 6E 7A 61 2C 0A i appartenenza,.
590 : 20 20 20 20 20 20 20 20 20 20 65 73 65 6D 70 69 esempi
5a0 : 6F 3A 3C 2F 70 3E 0A 3C 70 72 65 20 63 6C 61 73 o:.<pre clas
5b0 : 73 3D 22 53 s="S
[/code:1:1fab102fae]

bsdjunkie

June 11th, 2003, 14:47

This is definately from using the man.cgi tool on freebsd.org
http://www.freebsd.org/cgi/man.cgi
Doing a search for groups, and selction 1 for general commands produces a url much like in the trace.

http://www.freebsd.org/cgi/man.cgi?query=groups&apropos=0&sektion=1...

Im not sure why its spitting out the userid of frank with his respective groups.
I would like to think freebsd.org has checked their cgi scripts for potential problems...

Is this from a snort capture? Maybe it was a modified signature of the following or a similar one:

alert ip any any -> any any (msg:"ATTACK RESPONSES id check
returned root"; content: "uid=0(root)"; classtype:bad-unknown;
sid:498; rev:3;)

I get false positives on the above signature whenever i read email that has id=0 in it...

soup4you2

June 11th, 2003, 15:37

arr it came from Mr Snort....

the snort rules state:

alert ip $HOME_NET any -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES id check returned userid"; content:"uid="; byte_test:5,<,65537,0,relative,string; content:"gid="; distance:1; within:15; byte_test:5,<,65537,0,relative,string; classtype:bad-unknown; sid:1882; rev:7;)