收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 黑客技术 > 黑客工具 > 正文

远程攻击学习ABC—从SATAN开始的漏洞收集

来源:互联摘选 日期:2006-06-06 05:49

来源:http://www.hackhome.com/

我声明整理这篇文章的初衷不是怂恿更多人去搞破坏,只是想说明这么一件事情而已。如果你以为这篇文章能教会你什么的话,那么你也错了,因为往往技术取决于你的经验,而经验这东西需要自己去实践。当然了,最重要的是这篇文章总得来说还是比较杂乱的。

#漏洞的感念:
   漏洞是硬件、软件或者是安全策略上的错误而引起的缺陷,从而可以使别人能够利用这个缺陷在系统未授权的情况下访问系统或者破坏系统的正常使用。这些缺陷所能影响到的网络范围是很大的,其中包括路由器、客户和服务器程序、操作系统、_blank">防火墙等。
   漏洞本身不会自己出现,它依赖于人的发现。而你每天看到的那些“最新”安全漏洞描述,这些可能是被HACKER、安全服务组织、其程序生产商或者还有不安分者发现的。而这些漏洞的信息则是以不同的方式发布的。如果这个漏洞是安全服务者或者是HACKER还有就是程序生产商发现的话那么就会及时的出现在一些安全资讯邮件列表或者BBS上,以便于网络单位查询和弥补。而那些被不安分者发现的漏洞,一般是通过破坏一大堆或者更多的服务器来“发布”的。这个例子你可以用去年微软的一个bug来证实。因为微软公司和安全服务者接受到这个漏洞信息的代价是近万台服务器被Denial of Service。我记得我在去年在订阅的国外一个网络破坏组织的内部邮件列表中收到一个关于Unix中的缓冲区溢出的漏洞,它所能影响到的Unix版
本很多而且危险程度不小。但这个漏洞最后被打上补丁由安全服务组织发布却是在一个半月之后,这短短的一个半月所受到伤害的服务器一大堆,其中还包括美国的MILNET和印度某核武器研究所。

#发现安全漏洞:
    要想发现漏洞是一件复杂的过程,它需要你熟悉各种语言和相当的网络技术。但我提前说了,我并没有发现过什么可值得说明的漏洞,你可理解为我仅仅只是知道这是怎么一回事就行了。:)
在这里我本想从两部分来描述,第一就是漏洞的是怎么产生和人为产生的安全弱点;第二就是我们做为一般用户怎么样才可以得到目标服务中存在着一些漏洞。但上个月在Net.kook BBS上Ghastful-elf有发一篇《Simple Discover Safety Failing》,在这篇里他系统的讲述了产生漏洞的情况和它们的共性,所以我就没必要再浪费我们的时间去描述了,就只说其二。

如何得到系统的漏洞信息
   当然是扫描了。扫描器是自动检测远程或本地安全性弱点的程序。而真正的扫描器是TCP端口扫描器,这样的一些程序可以指定某些TCP/IP端口(ftp等)以及她的服务进行检测,记录住每个从目标机器中返回的信息。这样可以帮助你收集到目标主机上的有用的信息。而其它像host、rusers仅只是一些Unix上的网络
应用程序,这些一般用在观察某种服务是否正常工作。扫描程序也是很多攻击者较为常用的,很多攻击的开始都是从扫描先进行的。
一、SATAN——撒旦
   SATAN这程序应当是你知道的,它是Dan Farmer and Weitse Venema用C、Perl和一些HTML专门为Unix而设计的分析网络的安全管理和检测、报告的工具,利用它可以收集到目标主机的很多信息。它能在很多Unix平台上运行,大多都不需要移植。SATAN的确很古老了,但是它目前在网络安全领域中所起到的作用却一直没有衰退过,这也是值得我去描述它的原因。SATAN特点包括可扩展的框架、友好的界面以及检测系统的可伸缩方法。它总体结构允许使用者方便的增加附加的探测器,它可以方便快速自动的检测很多系统,这也就是SATAN自1995年4月发布以来能成为网络安全领域的重要程序的原因之一。
   SATAN有一个很重要的也很奇特的功能,这个功能也体现了它的创造者的理念是很清楚的,他明白这个是干什么的。那就是SATAN的自动攻击程序。因为创作者把入侵做为了安全最慎重的环节。
   在进一步讨论SATAN之前有必要先了解SATAN都能干些什么,如果你经常更新你的漏洞资讯的话那么这对SATAN来说是最好不过的了。因为它可以扫到目标主机的很多已知漏洞。具体表现为:
●FTPD脆弱性及ftp目录是否可写。
目前大多数Unix系统都提供FTPD(有些版本的Unix是in.ftpd)守护进程,但启动时都是不带参数启动的,有时候很多入侵者控制到主机后想得到更高级功能的FTPD时会做重新启动机器的处理,在启动FTPD时会加进一些参数……
●NIS的脆弱性
NIS是一种网络查询服务,它可以将所有包含系统管理员信息的文件保存在一个指定的主机上向来自网络其它的用户提供这些信息。
●RSH的脆弱性
它是Unix中的一个服务程序,可以执行指定的命令。
●NFS的脆弱性
NFS是一种网络文件系统,一种允许一台机器通过TCP/IP网络连接使用另一台机器上磁盘空间和文件的协议。它目前已经成为了Int-ernet上进行分布式访问的一种事实上的标准。
●X服务器的脆弱性
●Sendmail服务器的脆弱性
Sendmail的主要功能是转发邮件。从Sendmail可以得到一些如当前时间和主机号等…
具体的扫描内容表现为:
●可写匿名的FTP根目录
●借助TFTP的对任意文件的访问
●从任何主机上的REXD访问
●NIS口令File可被任何主机访问
●向任何host调出的NFS文件系统
●X服务器的服务器控制无效
●老版本(在8.6.10前)的Sendmail(据我所知现在这个似乎没有了)
   我们就先从SATAN的安装说起吧。SATAN要比一般的扫描程序占用更多的资源,尤其是内存和CPU功能方面要求更高一些。并且它还需要一套Perl5.0以上的脚本解释程序的支持,还需要一个浏览器,因为它在运行的时候会自动启动浏览器。SATAN程序包个头也比较大,容易暴露目标,所以你在寻找SATAN的安装平台的时候要想到以上几点,否则就有可能白费功夫。SATAN安装一般所在的目录是/satan -1.1.1(少数不同)。安装之前首先得运行Perl程序reconfig,用它搜索各种不同的组成成分,并自定义目录的路径。要是遇到那些没有把浏览器安装在标准目录里(并且没有在PATH中进行设置)的那么就得你自己手工进行设置了,因为reconfig找不到。还有就是遇到没有用DNS(指的是自己机器上)的,那么就必须在/satan-1.1.1/conf/satan.cf中进行$dont_use_nslookuo=1的设置了;最后你可以在分布式系统上运行SATAN的安装程序(IRIX或SunOS),不过在编译的时候你可得多注意一下了,很容易出错的。SATAN可以自动扫描整个子网,驾御它很容易。但使用之前你必须拥有起码的网络攻击的普通知识。一般对Unix进行攻击大多首要目标就是得到一个普通的登陆用户(我想这个在很多初学者都提过),即在/etc/passwd或NIS映射中的加密口令拷贝的获取,得到后便可利用Crack猜出至少一个口令。这就明显的表示出来对单一主机攻击的优越性,注重在目标主机与漏洞共存的系统,也就理解为系统受托于目标系统、各个系统连接在一个物理网上或者各个系统拥有相同的用户,那么攻击的发起者可以利用DNS高速缓存崩溃或IP欺骗伪装成某个受托系统或是用户,也可以是在信任主机或者是伪装成的信任关系与目标机器的传输间架起一道屏障,即所谓的包截获,来截获来于目标机器与各个机器间的数据信息。而目前最常见的则是对第一个用户口令的寻找,也就是上述所描述的/etc/passwd或NIS了。SATAN可以帮助你搜寻目标系统中未加限制的NFS允许根对其读与写或根的脚本,换句话来说就是SATAN可以为你收集到目标机器各个用户的管理级别或根级别访问系统。如果说用SATAN对一台毫无安全而言的Unix的话,根本不需要你做任何复杂的过程,它都可以为你得到系统的进入点或是找到一些不需要级别用户的权限即可控制系统。这就言语着ITL Scale中所说的ITL9级了,SATAN可以跨越它。
   因为在SATAN中作者写进了攻击程序,即可以模拟入侵者来自动完成对系统的入侵。
这一点在Farmer&Venema93年合著的《Improving the Securty of Your Site Breaking Into It》和Farmer的《computer-Oracle and passwd system(COPS)》中都有详细的说明,即便是现在已经过了几年了,但这两篇著作仍有保持着其的权威性和重要性。
  总得来说,一般远程攻击第一阶段是获取系统上的一个user name and passwd,而第一步又可分为针对目标主机建立安全漏洞列表和信息库两个步骤,攻击者通过对目标主机的漏洞与机会进行搭配,而获取对系统的访问权限;第二阶段就是获取根的访问权限,一旦可以获取根的访问权限了那么这个机器就已经可以说被完全控制;第三阶段就是扩展访问权,用来对其它网络进行攻击,这个阶段还包括清扫攻击时留下的痕迹,这样就可以把自己隐藏起来不被发现(为此有人专门编写了一些隐藏踪迹的工具,最为著名的就是Kit Vtivoy的rootkit了,rootkit里包括了ps、ls 、sum、who等内容,rootkit本身可以篡改系统内的ps、ls、sum、who等信息的输出,这样管理员就不能确定二进制的完整性Integrity,因为sum被感染过,被感染过的ps则不能显示攻击者运行的程序,不过rootkit这个程序因为作者只是想做为技术交流所以没公开发布过,所以一般不容易得到它(如果你运气好的话可以到
ftp://semxa.technotr.com/tools/中“找”到它)。而SATAN所能做到的就是第一、二阶段。

   要想对SATAN做详细的介绍和说明的话我想它可能得一本书来描述。在这里当然不能那么详细的去做,所以尽量的用事例来说明它。可以从攻击者的角度来进行,首先来确定一个虚拟的攻击目标再jack in it。
它为
www.semxa.com,接着就这个目标进行走马观花一般的步骤说明。
A\第一步千篇一律,那就是收集目标机器的信息。为了简单但又详细说明SATAN的功能,首先做的是不用SATAN对
www.semxa.com进行扫描,而是背弃SATAN之外的工具也或者完全是手工完成它。因为我觉得这样更加有persuasion。
1、获取主机名和IP地址以:
   通过运行whois和nslookup可以获得semxa.com域里的dns1.semxa.com等几个主机,再用named-xfer程序的执行结果和whois、nslookup的结果一起分析,这样就得到在semxa.com域里那些DNS服务器跟网络有连接。到了这个时候一个简单的分别ping各主机便可得到这些主机有那些是在Firewall后等等信息。
   同时还得到semxa.com运行有ftp、telnet、SMTP等服务。
不过很多攻击者不习惯于此!仅仅只是直接ping主机获取IP,其它不做出判断。在这里获得的IP地址为:4.4.4.4
2、获取系统OS类型信息:
  通常攻击者习惯于利用telnet来判断系统的OS,因为它得到的信息是比较可靠的。有时候仅仅一个telnet因为系统做过保护所以也不一定能有详细的诸如OS具体类型、版本或者硬件平台等等结果,攻击者会尝试利用缺省的无口令帐号登陆系统,这些帐号有:guest、lp、nuucp、tour、demos、4Dggifs9、root等等。如果说某个telnet守护程序允许你向它发送环境变量并且不做任何接收限制的话这可是好的开端.当然管理员不会这么认为 or ;-)or;》3、获取FTPD信息:
一个简单的ftp登陆,在起始行一般都会给出版本的信息。如
#ftp
www.semxa.com
Connected to
www.semxa.com
220
www.semxa.com FTP server(Digital UNX Version wed Apr 8
09:21:53 EDT 1998) ready.
……
  这个时候可以利用匿名用户ftp或者anonymous来尝试登陆,匿名的Ftp对攻击收集信息来说是很重要的。
User (
www.semxa.com none)): ftp
530 User ftp access denied
Login failed.
……
  不过这个不允许匿名用户登陆,那么得到FTP server的所存在的弱点也是很有必要的,虽然说目前很多时候对于FTP server的弱点不会更多的引起注意力,但我想不久的将来FTP Server上的弱点有可能是个deathblow。
4、获取Sendmail信息:
  直接用telnet connected to SMTP的端25来获取信息。Sendmail最初
设计没有考虑其安全性,所以也是一个漏洞集中地。
#telnet
www.semxa.com 25
229
www.semxa.com Sendmail 8.8.7/8.8.7 ready at Wed Apr
这里得到了Sendmail版本为8.8.7,其配置文件版本也是8.8.7。如果说这里的版本是8.6.10以前的话那么我就可以就此止步了。因为完全可以在它上面找到几个可用的漏洞来结束这次攻击的第一阶段。
5、UDP/TCP扫描获取信息:
  这样去做主要是想获取目标系统中的/etc/inetd.conf文件信息。这些文件提供了假定的监听端口服务列表,它们允许对其进行telnet的连接。但这么做很浪费时间,针对TCP端口可以依赖更快捷的途径如利用Strobe(
ftp://semxa.technotr.com/tools/得到)来完成,但得注意Strobe遗留痕迹的问题。可我喜欢它的速度,还因它不需要money来login。:-)而对UDP端口可用COAST(ftp://semxa.technotr.com/tools/)来完成。这些信息那些可取那些不可取现在先别去理会。等把所有的信息全部收集完成之后自己就这些信息做一个列表再慢慢analysis了。
6、获取Portmap信息:
  网络服务主要通过三种机制提供的,它们是:永远监听端口的Network guardianship course、用inetd监听端口并在inetd获得一个连接请求时被调用的网络程序以及用Portmap程序为特定程序的请求动态分配一个响应端口的rpc服务。对此类信息的收集可以利用rpcbind(
ftp://semxa.tech-notr.com/tools/)程序完成,这个程序也是Weitse Venema写的。
7、获取Boot信息:
  在这里主要想做的就是获得同一个LAN网段内的bootps服务访问权限,通过一个ping来确定目标机器的LAN地址,而ping会让目标机器产生一个ARP请求包,在这个包里含有目标机器的LAN地址,然后可以转储目标系统的ARP告诉缓存……这是案例!需要你跟目标主机在同一个LAN内,而现在的semxa.com并非如此。所以此段信息即便是能获取也不会有太大用处。当然了,如果能获取的话那么就证明跟semxa.com是在一个LAN内了。你可以当这些话是废话。:)
8、尝试finger、rusers、rwho来获取信息:
   finger用来显示用户信息,具体的做法随处可见了。而rusers则是用来显示一台远程主机的登陆用户列表的。rwho跟who有点相同,rwho是显示在本地的网络上和主机有那些人在登陆。rusers会产生跟finger类似的列表,但rusers则不能查询单个用户的信息。表现为:#rusers -1
www.semxa.com……
rwho对于攻击来说不是很有用的信息,但如果你跟目标主机是在同一个LAN的话那么就可另当别论了,rwho依赖其守护进程rwhod,责任是向其它rwhod程序定期广播这个时间段谁在系统上的信息。
9、获取NFS Export信息:
   NFS是一种系统程序,它主要负责文件传送操作的NFS协议,另外还可以使用MOUNT协议标识要访问的文件系统及其所在的远程主机。NFS有着良好的扩展性、信息访问的透明性、简化了中央支持任务和网络管理等等优点。但它在安全上却有很大的问题。NFS采用的是客户机/server结构的系统,客户机是一个使用远程目录的系统,那么此时远程目录就像是它自己的本地文件系统的一部分一样;而server提供本地资源能被远程主机安装的服务,允许磁盘上的有关目录或文件被其它主机访问。网络文件系统就是通过NFS s-erver的文件系统安装到客户机的文件系统而得以实现的。NFS协议只负责文件的传输工作,但不负责连接文件系统。在server端有一个叫mountd的守护进程则负责安装任务,响应的安装程序负责维持包含在安装工作中的一系列主机名和路径名,一般在Unix中把已经共享的远程目录安装到本地的过程叫做“安装(mountd)目录”,再把做为远程访问提供一个目录叫做:“输出(exporting)目录”,前者是客户机的功能,后者是一种server的功能。
   在Unix中,有个查询消息的showmount命令,它的作用是在一台NFS主机上跟某远程的NFS的信息。如果某个远程主机是通过rpcinfo -p显示安装服务的话,那么用showmount命令可以询问到rpc.nounted中的detail。它的参数包括有showmount -a(命令打印一列已经加载输出文件系统的host)和showmount -e(命令请求打印的列表包含通过NFS输出的文件系统以及它的授权)。NFS uid 16-bit就是个很显著的例子,一个NFS server依赖客户端的认证,但这种认证只是请求时的IP add,有个声称客户uid为0+2^16=65536
的用户被accept并且不重新映射为新UID。当这个用户提出请求访问拥有的文件时,对uid的比较仅对其低16位进行,就将允许这个用户伪装成根。就本身而言,NFS应该是不对Internet开放的,即便是你需要那么做但也仅仅只能是读。如果说可以对根可以写的话,那么这对网络安全来说绝对是一个笑柄了。NFS依赖于客户方认证的。如果对showmount所输出的信息多加以分析的话,寻找它的漏洞所在,利用很多诸如Nfsbug、nfsmunu等工具就可以对NFS进行jack in。

10、获取NIS信息:
   网络信息服务NIS(以前也叫做黄页服务)允许在一个单位或者组织结构中共享系统管理方面的信息数据库,比如用户组、口令文件等,NIS可以为重要的管理文件提供重要服务,并自动传送这些文件。使用NIS可以达到集中管理的目的,不用再那么麻烦的在多台不同机器上修改文件,能够保证整个网络上管理信息的一致性。NIS也是基于客户/服务器模型。通过NIS访问同样的数据库的客户机的集合称为域。那些供网络查询的数据库通常由几个标准的Unix文件转换而成,这些数据库一般称为NIS映像。NIS的域的概念类似于DNS中的域。
   在一个NIS域中所有的计算机不但共享了NIS数据库文件,也共享着同一个NIS server。为了访问NIS信息host必须有相应的域名,并且只能属于一个特定的域。NIS主server保存所有的数据库文件并对客户提供数据库访问和其它一些相关服务。NIS的数据库ASCII码文件一般保存在/var/yp/dom-inname。而在Unix下通过命令#domainname x可以来检查或设置NIS域名。NIS server在向NIS/yp域中所有的系统分发关于数据库文件时,一般不做检测,只要对方是自己NIS域内并且知道其域名的每个ypbind用户。这显然就安全而言不是什么好事情,但对攻击者来说则是不错的现象。如果说用ftp或者telnet smtp发去N次请求,导致NIS客户请求的响应发生反应迟钝的现象,这样就使NIS客户广播一个请求,这请求跟另一个NIS server相连。
那么攻击的时候对这个请求进行响应,让它连到自己的系统之上,并向该客户发布口令映射,如果这么完整的做完的话那么也就可以结束这次攻击的第一阶段了。
  做为管理者而言,NIS同NFS一样,都不应该对Internet是访问的。更不应在不信任的环境下使用。保持良好的NIS域名秘密而不易被猜到。
11、获取Web server信息:
收集Web server的信息是攻击中很main的环节,虽然说Web的守护进程httpd不会发生间接暴露server信息的情况,但Web page上的信息却很多都是有用的,当然了,这有用是针对攻击者而言的。比如说一个信箱用户名也许对应的就是一个可以登陆系统的用户名等等。而CGI、ASP漏洞被攻击者所利用来攻击系统的事件也都屡见不鲜。这里可以为获取semxa.com的Web页面路径做些测试。简单的利用浏览器眼睛多注视左下角就可以获得页面的存放路径,大多时间还将获得有关本地环境和URL的信息,如果目标机器对它的URL是隐藏的话那么这个就是不存在的。通过建立一个Web站点并使semxa.com内的成员机跟它相连接,这样可以获得一些客户信息,但也只实用于LAN。我一般是利用浏览器观察,把暂时认为有用的信息会记录下来。

[1] [2] 下一页

强悍的草根IT技术社区,这里应该有您想要的! 友情链接:b2b电子商务
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号