文章內(nèi)容

一次常見的Linux入侵 (1)

發(fā)布時間: 2012/8/15 18:04:37

　最近，我瘋狂的迷上了Linux那優(yōu)雅的紳士帽。偶爾連上一臺服務(wù)器，拿幾個工具掃描后，我發(fā)現(xiàn)Linux其實缺省啟動了很多服務(wù)，比較典型的有Rlogind、Inetd、Httpd、Innd、Fingerd等，估計網(wǎng)管不是個勤快的人。雖然我并不是一個漏洞革新者，但利用最新公布的黑客工具來突破一個剛剛被發(fā)現(xiàn)的安全漏洞，并不是很困難的事情。
　　入侵
　　確定目標(biāo)之前，我準(zhǔn)備了一些Linux下的基本工具。
　　1．從GCC開始
　　GCC是Linux下攻擊者的必備利器之一，它是一款功能強(qiáng)大、性能優(yōu)越的多平臺編譯器。GCC的基本用法是：GCC [options] [filenames]，其中Options就是編譯器所需要的參數(shù)，F(xiàn)ilenames是相關(guān)的文件名稱。
　　
　　TIPS：GCC常見的參數(shù)有：
　　-c，只編譯，不連接成為可執(zhí)行文件，編譯器只是由輸入的.c等源代碼文件生成.o為后綴的目標(biāo)文件，通常用于編譯不包含主程序的子程序文件。
　　-o output_filename，確定輸出文件的名稱為output_filename，同時這個名稱不能和源文件同名。如果不給出這個選項，GCC就給出預(yù)設(shè)的可執(zhí)行文件a.out。
　　-g，產(chǎn)生符號調(diào)試工具所必要的符號。
　　-O，對程序進(jìn)行優(yōu)化編譯、連接。
　　
　　下面是一個簡單的例子。首先啟動Linux，進(jìn)入到VI界面，打開VI a.c，然后隨意寫入一段C語言程序，例如：
　　＃include "stdio.h"
　　int main()
　　{
　　printf("test GCC");
　　}
　　然后用GCC編譯，命令為：GCC a.c，然后會產(chǎn)生一個a.out的文件，用命令“./a.out”執(zhí)行即可，這個工具對于Linux下的漏洞攻擊十分管用，因此，“肉雞”上是否開放了這個功能就顯得很重要了。
　　2．連接：盡在掌握
　　現(xiàn)在，該考慮目標(biāo)機(jī)器了。根據(jù)我掌握的情況，某單位的一幫閑人安全意識十分薄弱，而且承包系統(tǒng)管理的單位也整天無所事事。掃描、搜索，找到一個目標(biāo)后，該考慮考慮攻擊手段了，Crack Passwd？Buffer Overflow？CGI漏洞利用？不過，首先要把目標(biāo)機(jī)連上，測試一下：
　　C:\>ping 203.207.xxx.xxx
　　Pinging 203.207.xxx.xxx [203.207.xxx.xxx] with 32 bytes of data:
　　Reply from 203.207.xxx.xxx: bytes=32 time=210ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=130ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=561ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=501ms TTL=119
　　Ping statistics for 203.207.xxx.xxx:
　　Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
　　Approximate round trip times in milli-seconds:
　　Minimum = 130ms, Maximum = 561ms, Average = 350ms
　　看看目標(biāo)有沒有開Finger服務(wù)？一般來說利用Finger，總可以得到幾個用戶名信息，再通過簡單的猜測來試探用戶密碼。得到一些普通用戶帳號后，就可以考慮用Telnet方法來看看了。
　　3．掃描：看個清清楚楚
　　現(xiàn)在，該考慮掃描Linux服務(wù)器了。目標(biāo)開了哪些端口？這些端口有什么利用價值？掃描返回的Banner信息說明目標(biāo)是什么系統(tǒng)？什么版本？這些版本的OS有什么可利用的漏洞？我們有哪些攻擊方法可以使用？還是一步一步來吧！
　　NMap（Network Mapper）是Linux下的網(wǎng)絡(luò)掃描和嗅探工具包，其基本功能有三個，一是探測一組主機(jī)是否在線；其次是掃描主機(jī)端口，嗅探提供的網(wǎng)絡(luò)服務(wù)；三是可以推斷主機(jī)所用的操作系統(tǒng)。Nmap可用于掃描僅有兩個節(jié)點的LAN，直至500個節(jié)點以上的網(wǎng)絡(luò)。此外，它還允許用戶定制掃描技巧，并能將探測結(jié)果記錄到各種格式的日志中，供進(jìn)一步分析操作。
　　NMap可以從http://www.insecure.org/nmap/獲得。可以選擇RPM格式或者RPM源碼格式安裝。以下是一個安裝范例：
　　bzip2 -cd nmap-VERSION.tar.bz2 | tar xvf -
　　cd nmap-VERSION
　　./configure
　　make
　　su root
　　make install
　　執(zhí)行NMAP后，我們看到如下結(jié)果：
　　# nmap -sS -T Agressive -p 1-10000 203.207.xxx.xxx | grep open
　　Port State Protocol SerVIce
　　21 open tcp ftp
　　22 open tcp ssh
　　25 open tcp smtp
　　80 open tcp http
　　119 open tcp nntp
　　3306 open tcp mysql
　　從以上的分析列表可以看到，203.207.xxx.xxx作為WWW和FTP服務(wù)器使用，此外，該服務(wù)器還提供了SSH、SMTP、NNTP、MSQL和MSQL1服務(wù)。在這些服務(wù)中，SSH是一種帶有完善加密和認(rèn)證機(jī)制的協(xié)議，如果服務(wù)器上運行的SSH是最新版本，那么攻擊它就有一定的難度。HTTP、FTP、SMTP和NNTP是203.207.xxx.xxx服務(wù)器實際提供的服務(wù)，這些服務(wù)是必須運行的。
　　現(xiàn)在，我們找到了打開的端口，卻不知道是哪個程序在操作這個端口，就要使用LSOF等工具了。執(zhí)行命令“lsof -P -n –i”，即可顯示所有本地打開的端口及操作這些端口的程序。一個比較典型的例子如圖1所示。
　　
　　圖1
　　另外，如果想看看服務(wù)器管理員為這個域所設(shè)置的內(nèi)容，還可以用Nslookup輸出網(wǎng)絡(luò)域信息，查看DNS，然后運行NMAP搜索整個網(wǎng)絡(luò)可以列出域之內(nèi)所有已知服務(wù)器。
　　4．查詢：探個明明白白
　　看看目標(biāo)有沒有開Finger服務(wù)，如果有的話利用Finger得到用戶名信息，我們可以通過簡單的猜測來試探用戶密碼，用戶多的話總會有幾個懶蟲的現(xiàn)在進(jìn)行更加深入的探測。使用Rpcinfo和Kshowmount等，可以查詢機(jī)器提供了哪些服務(wù)。
　　如果NFS正在運行，就有可能從服務(wù)器獲得已導(dǎo)出文件系統(tǒng)的清單，不過我在這臺服務(wù)器上并沒有成功，倒是在另一臺默認(rèn)值有問題的服務(wù)器上取得了成功，這臺服務(wù)器把文件系統(tǒng)完全不受保護(hù)地以可讀寫方式顯露給外界，這就給了我一個很好的機(jī)會：
　　# /usr/sbin/kshowmount -e 203.207.xxx.002
　　Export list for 203.207.xxx.002:
　　/usr/lib/cobol (everyone)
　　/usr/sys/inst.images (everyone)
　　/stadtinf (everyone)
　　/var/spool/mail (everyone)
　　/usr/lpp/info (everyone)
　　/usr/local (everyone)
　　/pd-software (ever