标?题:我也来贴一篇 -- 咱们本门的功夫。不过比他就差远了。 发信站:安全焦点(2001-11-16 14:52:35)
无聊,上网逛逛,想起某地我还有一个网络有OpenVMS 7.5,半年没玩儿了,过去瞧瞧。
一瞧,顿然觉得失败,半年没见,那边的Admin竟然重新对所有机器进行了安全加强配置,而我当年竟然一时心软,没留一个隐蔽一点的后门 -- 连shadow都没拉回来 -- 失败,太失败了。
不甘心哪,我的500台大机 -- AIX,HP-UX,Tru64,Irix还有变态西西的VMS...
实在是不甘心,我一定要再拿回来!
好吧,开始扫描,再看看它有什么漏洞。
========================================================================
所有的机器都是用nis集中认证,用户home也都是nfs的,每种平台都坚持最少服务原则,开放的服务也都打了补丁的...呜呜呜,看来是没漏洞了吗?
试,试试试,再试!
没用,所有的远程溢出都没用,只有一台机器开了Finger,结果还告诉我:你的地址已被记录在案 -- 晕倒。
好吧,忽然,发现一台粉老粉老的东东,keep? 竟然是Sun OS 4.13,呵呵,拿来做留念的啊? 这台也是NFS服务器之一,showmount一下,竟然有两百多台机器nfs在这里。
服务开放:22,110,512,513,6000没了...
看来没希望啦? 老机有老机的应付方法,某些老系统可是存在一个却省账号 -- sync的哦。 而且很多系统中这个账号都是没有passwd的!好吧,就这么办。
ssh连接,试探一下,OK!果然没有密码...可惜,也没有shell :_< sync账号的却省shell当然就是sync了嘛!
好像还是没有用。 ssh不行,咱们rlogin再试试看...不行,还是不行...
进不去?那咱们就让他出来... rsh -l sync keep \"/usr/openwin/bin/xterm -display xfocus.com:0\"
不行,好像是超时,再试,还是不行,看来是做了某些设置了...又失败。
快绝望了...呜呜呜...Quack哪,再给我多一点点...
忽然间,从眼泪中看到了灵光一闪!能X?那我当然也能X进去啦。
Ok,xdmcp,query,连接...失败...还是不行那... 这回真的绝望了...睡觉去。
========================================================================
一觉醒来,到别的机器上看看,X登录到了两台机器,忽然之间灵机一动 -- 如果一台机器同时有几台机器Xdmcp的话,那X屏幕号就不是0了!而我的X一直设的:0!
改成:9,继续登录,几秒钟停顿之后,终于出现了激动人心的OpenWindow登录界面!激动呀!真的好激动!user:sync pass:<null>,进去了!
几分钟之后,心情又从激动变成了空虚... 为什么上天对我如此的不公...那个弱智root,sync账号的xinitrc竟然有错误,我不但不能得到一个却省的xterm,而且能够运行的程序还只有两个 -- xedit和文件管理器 -- 没有一个shell,还是一切都等于0.
算了,这种情况也不是没有遇见过,至少sync还是和root同组的嘛,四处逛逛,要是它哪个文件权限设错,哪就,嘿嘿嘿嘿~~~
/.rhosts,读都不能读;/.xxxrc,都是只读;/.....没了 /etc,继续检查,发现hosts.allow,倒是我这个组可写,可惜修改了也没什么用... /etc/passwd倒是可以看,可惜我不报多大希望crack它的...这边的密码强度我是早见识过 -- 除非是8位以上的穷举...
看来是没办法了...无意之间,逛到了/usr,幸运之神再一次降临到了我的脚下,哈哈,/usr -rwxrwxr--!
算你倒霉,竟然/usr属于我这个组,而且同组可写!虽然bin我不能修改... 好吧,冒一次险,我mv /usr/bin!
没有shell真的好痛苦呀,我还得忍受奇慢无比的X......点一下鼠标它要10分钟才能反应过来 -- 不愧是古董级得机器!
慢慢的,在文件管理其中执行了如下操作: mv /usr/bin /usr/binn mkdir /usr/bin 然后写了一个脚本,叫做sync,里面有一条命令,xterm什么的......嘿嘿嘿
哪边再登录一次... God!报错!/bin/login not found. 我竟然犯了那么危险的一个错误! 忘了这一点...好险,好吧, mv /usr/bin/sync /usr/bin/login
再登录......终于,我这边的X缓慢的出现了一个term...松了一口气。 赶快把/usr/binn改回去,一面有人登录就麻烦了。
既然有了一个shell,后面就都简单了,从SunOS古老的漏洞中随便选几个出来,i am root!
既然是nis,su某用户就可以通行无阻啦!俺是良民嘛!
======================================================================== 接下来的几天里,就是拿着良民证到处看看,最后选定一台HP-UX作为基地,用俺的独家利器得到了root,先备份回整个NIS数据库;然后让真正的NIS Server睡一会会儿觉,我就暂时替他看着,这一会儿嘛,当然会有很多用户到我这儿来报道啦,密码一个个等级好,差不多五六十个了。叫醒nis,我睡觉去了。
虽然只有五六十个普通用户,但是可是有500台各种平台的机器玩啊,俺又没那么黑,非要各个都是root.
重在学习嘛!
-- ※ 来源:·安全焦点讨论区 www.xfocus.org· |