文章內(nèi)容

一次常見的Linux入侵 (1)

發(fā)布時(shí)間: 2012/8/15 18:04:37

　最近，我瘋狂的迷上了Linux那優(yōu)雅的紳士帽。偶爾連上一臺(tái)服務(wù)器，拿幾個(gè)工具掃描后，我發(fā)現(xiàn)Linux其實(shí)缺省啟動(dòng)了很多服務(wù)，比較典型的有Rlogind、Inetd、Httpd、Innd、Fingerd等，估計(jì)網(wǎng)管不是個(gè)勤快的人。雖然我并不是一個(gè)漏洞革新者，但利用最新公布的黑客工具來突破一個(gè)剛剛被發(fā)現(xiàn)的安全漏洞，并不是很困難的事情。
　　入侵
　　確定目標(biāo)之前，我準(zhǔn)備了一些Linux下的基本工具。
　　1．從GCC開始
　　GCC是Linux下攻擊者的必備利器之一，它是一款功能強(qiáng)大、性能優(yōu)越的多平臺(tái)編譯器。GCC的基本用法是：GCC [options] [filenames]，其中Options就是編譯器所需要的參數(shù)，F(xiàn)ilenames是相關(guān)的文件名稱。
　　
　　TIPS：GCC常見的參數(shù)有：
　　-c，只編譯，不連接成為可執(zhí)行文件，編譯器只是由輸入的.c等源代碼文件生成.o為后綴的目標(biāo)文件，通常用于編譯不包含主程序的子程序文件。
　　-o output_filename，確定輸出文件的名稱為output_filename，同時(shí)這個(gè)名稱不能和源文件同名。如果不給出這個(gè)選項(xiàng)，GCC就給出預(yù)設(shè)的可執(zhí)行文件a.out。
　　-g，產(chǎn)生符號(hào)調(diào)試工具所必要的符號(hào)。
　　-O，對(duì)程序進(jìn)行優(yōu)化編譯、連接。
　　
　　下面是一個(gè)簡單的例子。首先啟動(dòng)Linux，進(jìn)入到VI界面，打開VI a.c，然后隨意寫入一段C語言程序，例如：
　�。nclude "stdio.h"
　　int main()
　　{
　　printf("test GCC");
　　}
　　然后用GCC編譯，命令為：GCC a.c，然后會(huì)產(chǎn)生一個(gè)a.out的文件，用命令“./a.out”執(zhí)行即可，這個(gè)工具對(duì)于Linux下的漏洞攻擊十分管用，因此，“肉雞”上是否開放了這個(gè)功能就顯得很重要了。
　　2．連接：盡在掌握
　　現(xiàn)在，該考慮目標(biāo)機(jī)器了。根據(jù)我掌握的情況，某單位的一幫閑人安全意識(shí)十分薄弱，而且承包系統(tǒng)管理的單位也整天無所事事。掃描、搜索，找到一個(gè)目標(biāo)后，該考慮考慮攻擊手段了，Crack Passwd？Buffer Overflow？CGI漏洞利用？不過，首先要把目標(biāo)機(jī)連上，測(cè)試一下：
　　C:\>ping 203.207.xxx.xxx
　　Pinging 203.207.xxx.xxx [203.207.xxx.xxx] with 32 bytes of data:
　　Reply from 203.207.xxx.xxx: bytes=32 time=210ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=130ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=561ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=501ms TTL=119
　　Ping statistics for 203.207.xxx.xxx:
　　Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
　　Approximate round trip times in milli-seconds:
　　Minimum = 130ms, Maximum = 561ms, Average = 350ms
　　看看目標(biāo)有沒有開Finger服務(wù)？一般來說利用Finger，總可以得到幾個(gè)用戶名信息，再通過簡單的猜測(cè)來試探用戶密碼。得到一些普通用戶帳號(hào)后，就可以考慮用Telnet方法來看看了。
　　3．掃描：看個(gè)清清楚楚
　　現(xiàn)在，該考慮掃描Linux服務(wù)器了。目標(biāo)開了哪些端口？這些端口有什么利用價(jià)值？掃描返回的Banner信息說明目標(biāo)是什么系統(tǒng)？什么版本？這些版本的OS有什么可利用的漏洞？我們有哪些攻擊方法可以使用？還是一步一步來吧！
　　NMap（Network Mapper）是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包，其基本功能有三個(gè)，一是探測(cè)一組主機(jī)是否在線；其次是掃描主機(jī)端口，嗅探提供的網(wǎng)絡(luò)服務(wù)；三是可以推斷主機(jī)所用的操作系統(tǒng)。Nmap可用于掃描僅有兩個(gè)節(jié)點(diǎn)的LAN，直至500個(gè)節(jié)點(diǎn)以上的網(wǎng)絡(luò)。此外，它還允許用戶定制掃描技巧，并能將探測(cè)結(jié)果記錄到各種格式的日志中，供進(jìn)一步分析操作。
　　NMap可以從http://www.insecure.org/nmap/獲得�？梢赃x擇RPM格式或者RPM源碼格式安裝。以下是一個(gè)安裝范例：
　　bzip2 -cd nmap-VERSION.tar.bz2 | tar xvf -
　　cd nmap-VERSION
　　./configure
　　make
　　su root
　　make install
　　執(zhí)行NMAP后，我們看到如下結(jié)果：
　　# nmap -sS -T Agressive -p 1-10000 203.207.xxx.xxx | grep open
　　Port State Protocol SerVIce
　　21 open tcp ftp
　　22 open tcp ssh
　　25 open tcp smtp
　　80 open tcp http
　　119 open tcp nntp
　　3306 open tcp mysql
　　從以上的分析列表可以看到，203.207.xxx.xxx作為WWW和FTP服務(wù)器使用，此外，該服務(wù)器還提供了SSH、SMTP、NNTP、MSQL和MSQL1服務(wù)。在這些服務(wù)中，SSH是一種帶有完善加密和認(rèn)證機(jī)制的協(xié)議，如果服務(wù)器上運(yùn)行的SSH是最新版本，那么攻擊它就有一定的難度。HTTP、FTP、SMTP和NNTP是203.207.xxx.xxx服務(wù)器實(shí)際提供的服務(wù)，這些服務(wù)是必須運(yùn)行的。
　　現(xiàn)在，我們找到了打開的端口，卻不知道是哪個(gè)程序在操作這個(gè)端口，就要使用LSOF等工具了。執(zhí)行命令“lsof -P -n –i”，即可顯示所有本地打開的端口及操作這些端口的程序。一個(gè)比較典型的例子如圖1所示。
　　
　　圖1
　　另外，如果想看看服務(wù)器管理員為這個(gè)域所設(shè)置的內(nèi)容，還可以用Nslookup輸出網(wǎng)絡(luò)域信息，查看DNS，然后運(yùn)行NMAP搜索整個(gè)網(wǎng)絡(luò)可以列出域之內(nèi)所有已知服務(wù)器。
　　4．查詢：探個(gè)明明白白
　　看看目標(biāo)有沒有開Finger服務(wù)，如果有的話利用Finger得到用戶名信息，我們可以通過簡單的猜測(cè)來試探用戶密碼，用戶多的話總會(huì)有幾個(gè)懶蟲的現(xiàn)在進(jìn)行更加深入的探測(cè)。使用Rpcinfo和Kshowmount等，可以查詢機(jī)器提供了哪些服務(wù)。
　　如果NFS正在運(yùn)行，就有可能從服務(wù)器獲得已導(dǎo)出文件系統(tǒng)的清單，不過我在這臺(tái)服務(wù)器上并沒有成功，倒是在另一臺(tái)默認(rèn)值有問題的服務(wù)器上取得了成功，這臺(tái)服務(wù)器把文件系統(tǒng)完全不受保護(hù)地以可讀寫方式顯露給外界，這就給了我一個(gè)很好的機(jī)會(huì)：
　　# /usr/sbin/kshowmount -e 203.207.xxx.002
　　Export list for 203.207.xxx.002:
　　/usr/lib/cobol (everyone)
　　/usr/sys/inst.images (everyone)
　　/stadtinf (everyone)
　　/var/spool/mail (everyone)
　　/usr/lpp/info (everyone)
　　/usr/local (everyone)
　　/pd-software (ever