文章內容

一次常見的Linux入侵 (1)

發布時間: 2012/8/15 18:04:37

　最近，我瘋狂的迷上了Linux那優雅的紳士帽。偶爾連上一臺服務器，拿幾個工具掃描后，我發現Linux其實缺省啟動了很多服務，比較典型的有Rlogind、Inetd、Httpd、Innd、Fingerd等，估計網管不是個勤快的人。雖然我并不是一個漏洞革新者，但利用最新公布的黑客工具來突破一個剛剛被發現的安全漏洞，并不是很困難的事情。
　　入侵
　　確定目標之前，我準備了一些Linux下的基本工具。
　　1．從GCC開始
　　GCC是Linux下攻擊者的必備利器之一，它是一款功能強大、性能優越的多平臺編譯器。GCC的基本用法是：GCC [options] [filenames]，其中Options就是編譯器所需要的參數，Filenames是相關的文件名稱。
　　
　　TIPS：GCC常見的參數有：
　　-c，只編譯，不連接成為可執行文件，編譯器只是由輸入的.c等源代碼文件生成.o為后綴的目標文件，通常用于編譯不包含主程序的子程序文件。
　　-o output_filename，確定輸出文件的名稱為output_filename，同時這個名稱不能和源文件同名。如果不給出這個選項，GCC就給出預設的可執行文件a.out。
　　-g，產生符號調試工具所必要的符號。
　　-O，對程序進行優化編譯、連接。
　　
　　下面是一個簡單的例子。首先啟動Linux，進入到VI界面，打開VI a.c，然后隨意寫入一段C語言程序，例如：
　　＃include "stdio.h"
　　int main()
　　{
　　printf("test GCC");
　　}
　　然后用GCC編譯，命令為：GCC a.c，然后會產生一個a.out的文件，用命令“./a.out”執行即可，這個工具對于Linux下的漏洞攻擊十分管用，因此，“肉雞”上是否開放了這個功能就顯得很重要了。
　　2．連接：盡在掌握
　　現在，該考慮目標機器了。根據我掌握的情況，某單位的一幫閑人安全意識十分薄弱，而且承包系統管理的單位也整天無所事事。掃描、搜索，找到一個目標后，該考慮考慮攻擊手段了，Crack Passwd？Buffer Overflow？CGI漏洞利用？不過，首先要把目標機連上，測試一下：
　　C:\>ping 203.207.xxx.xxx
　　Pinging 203.207.xxx.xxx [203.207.xxx.xxx] with 32 bytes of data:
　　Reply from 203.207.xxx.xxx: bytes=32 time=210ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=130ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=561ms TTL=119
　　Reply from 203.207.xxx.xxx: bytes=32 time=501ms TTL=119
　　Ping statistics for 203.207.xxx.xxx:
　　Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
　　Approximate round trip times in milli-seconds:
　　Minimum = 130ms, Maximum = 561ms, Average = 350ms
　　看看目標有沒有開Finger服務？一般來說利用Finger，總可以得到幾個用戶名信息，再通過簡單的猜測來試探用戶密碼。得到一些普通用戶帳號后，就可以考慮用Telnet方法來看看了。
　　3．掃描：看個清清楚楚
　　現在，該考慮掃描Linux服務器了。目標開了哪些端口？這些端口有什么利用價值？掃描返回的Banner信息說明目標是什么系統？什么版本？這些版本的OS有什么可利用的漏洞？我們有哪些攻擊方法可以使用？還是一步一步來吧！
　　NMap（Network Mapper）是Linux下的網絡掃描和嗅探工具包，其基本功能有三個，一是探測一組主機是否在線；其次是掃描主機端口，嗅探提供的網絡服務；三是可以推斷主機所用的操作系統。Nmap可用于掃描僅有兩個節點的LAN，直至500個節點以上的網絡。此外，它還允許用戶定制掃描技巧，并能將探測結果記錄到各種格式的日志中，供進一步分析操作。
　　NMap可以從http://www.insecure.org/nmap/獲得。可以選擇RPM格式或者RPM源碼格式安裝。以下是一個安裝范例：
　　bzip2 -cd nmap-VERSION.tar.bz2 | tar xvf -
　　cd nmap-VERSION
　　./configure
　　make
　　su root
　　make install
　　執行NMAP后，我們看到如下結果：
　　# nmap -sS -T Agressive -p 1-10000 203.207.xxx.xxx | grep open
　　Port State Protocol SerVIce
　　21 open tcp ftp
　　22 open tcp ssh
　　25 open tcp smtp
　　80 open tcp http
　　119 open tcp nntp
　　3306 open tcp mysql
　　從以上的分析列表可以看到，203.207.xxx.xxx作為WWW和FTP服務器使用，此外，該服務器還提供了SSH、SMTP、NNTP、MSQL和MSQL1服務。在這些服務中，SSH是一種帶有完善加密和認證機制的協議，如果服務器上運行的SSH是最新版本，那么攻擊它就有一定的難度。HTTP、FTP、SMTP和NNTP是203.207.xxx.xxx服務器實際提供的服務，這些服務是必須運行的。
　　現在，我們找到了打開的端口，卻不知道是哪個程序在操作這個端口，就要使用LSOF等工具了。執行命令“lsof -P -n –i”，即可顯示所有本地打開的端口及操作這些端口的程序。一個比較典型的例子如圖1所示。
　　
　　圖1
　　另外，如果想看看服務器管理員為這個域所設置的內容，還可以用Nslookup輸出網絡域信息，查看DNS，然后運行NMAP搜索整個網絡可以列出域之內所有已知服務器。
　　4．查詢：探個明明白白
　　看看目標有沒有開Finger服務，如果有的話利用Finger得到用戶名信息，我們可以通過簡單的猜測來試探用戶密碼，用戶多的話總會有幾個懶蟲的現在進行更加深入的探測。使用Rpcinfo和Kshowmount等，可以查詢機器提供了哪些服務。
　　如果NFS正在運行，就有可能從服務器獲得已導出文件系統的清單，不過我在這臺服務器上并沒有成功，倒是在另一臺默認值有問題的服務器上取得了成功，這臺服務器把文件系統完全不受保護地以可讀寫方式顯露給外界，這就給了我一個很好的機會：
　　# /usr/sbin/kshowmount -e 203.207.xxx.002
　　Export list for 203.207.xxx.002:
　　/usr/lib/cobol (everyone)
　　/usr/sys/inst.images (everyone)
　　/stadtinf (everyone)
　　/var/spool/mail (everyone)
　　/usr/lpp/info (everyone)
　　/usr/local (everyone)
　　/pd-software (ever