远程攻击学习ABC—从SATAN开始的漏洞收集(上)
寒路 2000-11-06 14:26:59
我声明整理这篇文章的初衷不是怂恿更多人去搞破坏,只是想说明这么一件
事情而已。如果你以为这篇文章能教会你什么的话,那么你也错了,因为往往技
术取决于你的经验,而经验这东西需要自己去实践。当然了,最重要的是这篇文
章总得来说还是比较杂乱的。
————————————————————————————————————
#漏洞的感念:
漏洞是硬件、软件或者是安全策略上的错误而引起的缺陷,从而可以使别人能
够利用这个缺陷在系统未授权的情况下访问系统或者破坏系统的正常使用。这些缺
陷所能影响到的网络范围是很大的,其中包括路由器、客户和服务器程序、操作系
统、防火墙等。
漏洞本身不会自己出现,它依赖于人的发现。而你每天看到的那些“最新”
安全漏洞描述,这些可能是被HACKER、安全服务组织、其程序生产商或者还有不安分
者发现的。而这些漏洞的信息则是以不同的方式发布的。如果这个漏洞是安全服务
者或者是HACKER还有就是程序生产商发现的话那么就会及时的出现在一些安全资讯
邮件列表或者BBS上,以便于网络单位查询和弥补。而那些被不安分者发现的漏洞,
一般是通过破坏一大堆或者更多的服务器来“发布”的。这个例子你可以用去年微
软的一个bug来证实。因为微软公司和安全服务者接受到这个漏洞信息的代价是近万
台服务器被Denial of Service。我记得我在去年在订阅的国外一个网络破坏组织的
内部邮件列表中收到一个关于Unix中的缓冲区溢出的漏洞,它所能影响到的Unix版
本很多而且危险程度不小。但这个漏洞最后被打上补丁由安全服务组织发布却是在
一个半月之后,这短短的一个半月所受到伤害的服务器一大堆,其中还包括美国的
MILNET和印度某核武器研究所。
#发现安全漏洞:
要想发现漏洞是一件复杂的过程,它需要你熟悉各种语言和相当的网络技术。
但我提前说了,我并没有发现过什么可值得说明的漏洞,你可理解为我仅仅只是知
道这是怎么一回事就行了。:)
在这里我本想从两部分来描述,第一就是漏洞的是怎么产生和人为产生的安全
弱点;第二就是我们做为一般用户怎么样才可以得到目标服务中存在着一些漏洞。
但上个月在Net.kook BBS上Ghastful-elf有发一篇《Simple Discover Safety
Failing》,在这篇里他系统的讲述了产生漏洞的情况和它们的共性,所以我就没
必要再浪费我们的时间去描述了,就只说其二。
如何得到系统的漏洞信息
当然是扫描了。扫描器是自动检测远程或本地安全性弱点的程序。而真正的
扫描器是TCP端口扫描器,这样的一些程序可以指定某些TCP/IP端口(ftp等)以
及她的服务进行检测,记录住每个从目标机器中返回的信息。这样可以帮助你收
集到目标主机上的有用的信息。而其它像host、rusers仅只是一些Unix上的网络
应用程序,这些一般用在观察某种服务是否正常工作。扫描程序也是很多攻击者
较为常用的,很多攻击的开始都是从扫描先进行的。
一、SATAN——撒旦
SATAN这程序应当是你知道的,它是Dan Farmer and Weitse Venema
用C、Perl和一些HTML专门为Unix而设计的分析网络的安全管理和检测、报
告的工具,利用它可以收集到目标主机的很多信息。它能在很多Unix平台上
运行,大多都不需要移植。SATAN的确很古老了,但是它目前在网络安全领
域中所起到的作用却一直没有衰退过,这也是值得我去描述它的原因。
SATAN特点包括可扩展的框架、友好的界面以及检测系统的可伸缩方法。
它总体结构允许使用者方便的增加附加的探测器,它可以方便快速自动的检
测很多系统,这也就是SATAN自1995年4月发布以来能成为网络安全领域的重
要程序的原因之一。
SATAN有一个很重要的也很奇特的功能,这个功能也体现了它的创造者
的理念是很清楚的,他明白这个是干什么的。那就是SATAN的自动攻击程序。
因为创作者把入侵做为了安全最慎重的环节。
在进一步讨论SATAN之前有必要先了解SATAN都能干些什么,如果你经
常更新你的漏洞资讯的话那么这对SATAN来说是最好不过的了。因为它可以
扫到目标主机的很多已知漏洞。具体表现为:
●FTPD脆弱性及ftp目录是否可写。
目前大多数Unix系统都提供FTPD(有些版本的Unix是in.ftpd)
守护进程,但启动时都是不带参数启动的,有时候很多入侵者控制
到主机后想得到更高级功能的FTPD时会做重新启动机器的处理,在
启动FTPD时会加进一些参数……
●NIS的脆弱性
NIS是一种网络查询服务,它可以将所有包含系统管理员信息的
文件保存在一个指定的主机上向来自网络其它的用户提供这些信息。
●RSH的脆弱性
它是Unix中的一个服务程序,可以执行指定的命令。
●NFS的脆弱性
NFS是一种网络文件系统,一种允许一台机器通过TCP/IP网络连
接使用另一台机器上磁盘空间和文件的协议。它目前已经成为了Int-
ernet上进行分布式访问的一种事实上的标准。
●X服务器的脆弱性
●Sendmail服务器的脆弱性
Sendmail的主要功能是转发邮件。从Sendmail可以得到一些如
当前时间和主机号等…
具体的扫描内容表现为:
●可写匿名的FTP根目录
●借助TFTP的对任意文件的访问
●从任何主机上的REXD访问
●NIS口令File可被任何主机访问
●向任何host调出的NFS文件系统
●X服务器的服务器控制无效
●老版本(在8.6.10前)的Sendmail(据我所知现在这个似乎没有了)
我们就先从SATAN的安装说起吧。SATAN要比一般的扫描程序占用更多的
资源,尤其是内存和CPU功能方面要求更高一些。并且它还需要一套Perl5.0
以上的脚本解释程序的支持,还需要一个浏览器,因为它在运行的时候会自动
启动浏览器。SATAN程序包个头也比较大,容易暴露目标,所以你在寻找SATAN
的安装平台的时候要想到以上几点,否则就有可能白费功夫。SATAN安装一般所
在的目录是/satan -1.1.1(少数不同)。安装之前首先得运行Perl程序reconfig,
用它搜索各种不同的组成成分,并自定义目录的路径。要是遇到那些没有把浏览
器安装在标准目录里(并且没有在PATH中进行设置)的那么就得你自己手工进行
设置了,因为reconfig找不到。还有就是遇到没有用DNS(指的是自己机器上)
的,那么就必须在/satan-1.1.1/conf/satan.cf中进行$dont_use_nslookuo=1
的设置了;最后你可以在分布式系统上运行SATAN的安装程序(IRIX或SunOS),
不过在编译的时候你可得多注意一下了,很容易出错的。
SATAN可以自动扫描整个子网,驾御它很容易。但使用之前你必须拥有起码
的网络攻击的普通知识。一般对Unix进行攻击大多首要目标就是得到一个普通的
登陆用户(我想这个在很多初学者都提过),即在/etc/passwd或NIS映射中的加
密口令拷贝的获取,得到后便可利用Crack猜出至少一个口令。这就明显的表示出
来对单一主机攻击的优越性,注重在目标主机与漏洞共存的系统,也就理解为系
统受托于目标系统、各个系统连接在一个物理网上或者各个系统拥有相同的用户,
那么攻击的发起者可以利用DNS高速缓存崩溃或IP欺骗伪装成某个受托系统或是用
户,也可以是在信任主机或者是伪装成的信任关系与目标机器的传输间架起一道
屏障,即所谓的包截获,来截获来于目标机器与各个机器间的数据信息。而目前
最常见的则是对第一个用户口令的寻找,也就是上述所描述的/etc/passwd或NIS
了。SATAN可以帮助你搜寻目标系统中未加限制的NFS允许根对其读与写或根的脚
本,换句话来说就是SATAN可以为你收集到目标机器各个用户的管理级别或根级别
访问系统。如果说用SATAN对一台毫无安全而言的Unix的话,根本不需要你做任何
复杂的过程,它都可以为你得到系统的进入点或是找到一些不需要级别用户的权
限即可控制系统。这就言语着ITL Scale中所说的ITL9级了,SATAN可以跨越它。
因为在SATAN中作者写进了攻击程序,即可以模拟入侵者来自动完成对系统的入侵。
这一点在Farmer&Venema93年合著的《Improving the Securty of Your Site
Breaking Into It》和Farmer的《computer-Oracle and passwd system(COPS)》中
都有详细的说明,即便是现在已经过了几年了,但这两篇著作仍有保持着其的权威
性和重要性。
总得来说,一般远程攻击第一阶段是获取系统上的一个user name and passwd,
而第一步又可分为针对目标主机建立安全漏洞列表和信息库两个步骤,攻击者通过
对目标主机的漏洞与机会进行搭配,而获取对系统的访问权限;第二阶段就是获取
根的访问权限,一旦可以获取根的访问权限了那么这个机器就已经可以说被完全控
制;第三阶段就是扩展访问权,用来对其它网络进行攻击,这个阶段还包括清扫攻
击时留下的痕迹,这样就可以把自己隐藏起来不被发现(为此有人专门编写了一些
隐藏踪迹的工具,最为著名的就是Kit Vtivoy的rootkit了,rootkit里包括了ps、
ls 、sum、who等内容,rootkit本身可以篡改系统内的ps、ls、sum、who等信息
的输出,这样管理员就不能确定二进制的完整性Integrity,因为sum被感染过,被
感染过的ps则不能显示攻击者运行的程序,不过rootkit这个程序因为作者只是想
做为技术交流所以没公开发布过,所以一般不容易得到它(如果你运气好的话可以
到ftp://semxa.technotr.com/tools/中“找”到它)。而SATAN所能做到的就是第
一、二阶段。
要想对SATAN做详细的介绍和说明的话我想它可能得一本书来描述。在这里当
然不能那么详细的去做,所以尽量的用事例来说明它。
可以从攻击者的角度来进行,首先来确定一个虚拟的攻击目标再jack in it。
它为www.semxa.com,接着就这个目标进行走马观花一般的步骤说明。
A\\第一步千篇一律,那就是收集目标机器的信息。为了简单但又详细说明SATAN
的功能,首先做的是不用SATAN对www.semxa.com进行扫描,而是背弃SATAN之外的
工具也或者完全是手工完成它。因为我觉得这样更加有persuasion。
1、获取主机名和IP地址以:
通过运行whois和nslookup可以获得semxa.com域里的dns1.semxa.com等
几个主机,再用named-xfer程序的执行结果和whois、nslookup的结果一起分
析,这样就得到在semxa.com域里那些DNS服务器跟网络有连接。到了这个时候
一个简单的分别ping各主机便可得到这些主机有那些是在Firewall后等等信息。
同时还得到semxa.com运行有ftp、telnet、SMTP等服务。
不过很多攻击者不习惯于此!仅仅只是直接ping主机获取IP,其它不做出
判断。在这里获得的IP地址为:4.4.4.4
2、获取系统OS类型信息:
通常攻击者习惯于利用telnet来判断系统的OS,因为它得到的信息是比较
可靠的。有时候仅仅一个telnet因为系统做过保护所以也不一定能有详细的诸
如OS具体类型、版本或者硬件平台等等结果,攻击者会尝试利用缺省的无口令
帐号登陆系统,这些帐号有:guest、lp、nuucp、tour、demos、4Dggifs9、
root等等。如果说某个telnet守护程序允许你向它发送环境变量并且不做任何
接收限制的话这可是好的开端.当然管理员不会这么认为 or ;-)or;》
3、获取FTPD信息:
一个简单的ftp登陆,在起始行一般都会给出版本的信息。如
#ftp www.semxa.com
Connected to www.semxa.com
220 www.semxa.com FTP server(Digital UNX Version wed Apr 8
09:21:53 EDT 1998) ready.
……
这个时候可以利用匿名用户ftp或者anonymous来尝试登陆,匿名的Ftp对
攻击收集信息来说是很重要的。
User (www.semxa.com none)): ftp
530 User ftp access denied
Login failed.
……
不过这个不允许匿名用户登陆,那么得到FTP server的所存在的弱点也
是很有必要的,虽然说目前很多时候对于FTP server的弱点不会更多的引起注
意力,但我想不久的将来FTP Server上的弱点有可能是个deathblow。
4、获取Sendmail信息:
直接用telnet connected to SMTP的端25来获取信息。Sendmail最初
设计没有考虑其安全性,所以也是一个漏洞集中地。
#telnet www.semxa.com 25
229 www.semxa.com Sendmail 8.8.7/8.8.7 ready at Wed Apr
这里得到了Sendmail版本为8.8.7,其配置文件版本也是8.8.7。
如果说这里的版本是8.6.10以前的话那么我就可以就此止步了。因为
完全可以在它上面找到几个可用的漏洞来结束这次攻击的第一阶段。
5、UDP/TCP扫描获取信息:
这样去做主要是想获取目标系统中的/etc/inetd.conf文件信息。这些
文件提供了假定的监听端口服务列表,它们允许对其进行telnet的连接。
但这么做很浪费时间,针对TCP端口可以依赖更快捷的途径如利用Strobe
(ftp://semxa.technotr.com/tools/得到)来完成,但得注意Strobe
遗留痕迹的问题。可我喜欢它的速度,还因它不需要money来login。:-)
而对UDP端口可用COAST(ftp://semxa.technotr.com/tools/)来完成。
这些信息那些可取那些不可取现在先别去理会。等把所有的信息全部收集完
成之后自己就这些信息做一个列表再慢慢analysis了。
6、获取Portmap信息:
网络服务主要通过三种机制提供的,它们是:永远监听端口的Network
guardianship course、用inetd监听端口并在inetd获得一个连接请求时
被调用的网络程序以及用Portmap程序为特定程序的请求动态分配一个响应
端口的rpc服务。对此类信息的收集可以利用rpcbind(ftp://semxa.tech-
notr.com/tools/)程序完成,这个程序也是Weitse Venema写的。
7、获取Boot信息:
在这里主要想做的就是获得同一个LAN网段内的bootps服务访问权限,
通过一个ping来确定目标机器的LAN地址,而ping会让目标机器产生一个
ARP请求包,在这个包里含有目标机器的LAN地址,然后可以转储目标系统
的ARP告诉缓存……这是案例!需要你跟目标主机在同一个LAN内,而现在
的semxa.com并非如此。所以此段信息即便是能获取也不会有太大用处。
当然了,如果能获取的话那么就证明跟semxa.com是在一个LAN内了。你可
以当这些话是废话。:)
8、尝试finger、rusers、rwho来获取信息:
finger用来显示用户信息,具体的做法随处可见了。而rusers则是用
来显示一台远程主机的登陆用户列表的。rwho跟who有点相同,rwho是显示
在本地的网络上和主机有那些人在登陆。
rusers会产生跟finger类似的列表,但rusers则不能查询单个用户的
信息。表现为:#rusers -1 www.semxa.com……
rwho对于攻击来说不是很有用的信息,但如果你跟目标主机是在同一
个LAN的话那么就可另当别论了,rwho依赖其守护进程rwhod,责任是向其
它rwhod程序定期广播这个时间段谁在系统上的信息。
9、获取NFS Export信息:
NFS是一种系统程序,它主要负责文件传送操作的NFS协议,另外还可
以使用MOUNT协议标识要访问的文件系统及其所在的远程主机。NFS有着良好
的扩展性、信息访问的透明性、简化了中央支持任务和网络管理等等优点。
但它在安全上却有很大的问题。NFS采用的是客户机/server结构的系统,客
户机是一个使用远程目录的系统,那么此时远程目录就像是它自己的本地文
件系统的一部分一样;而server提供本地资源能被远程主机安装的服务,允
许磁盘上的有关目录或文件被其它主机访问。网络文件系统就是通过NFS s-
erver的文件系统安装到客户机的文件系统而得以实现的。NFS协议只负责文
件的传输工作,但不负责连接文件系统。在server端有一个叫mountd的守护
进程则负责安装任务,响应的安装程序负责维持包含在安装工作中的一系列
主机名和路径名,一般在Unix中把已经共享的远程目录安装到本地的过程叫
做“安装(mountd)目录”,再把做为远程访问提供一个目录叫做:“输出
(exporting)目录”,前者是客户机的功能,后者是一种server的功能。
在Unix中,有个查询消息的showmount命令,它的作用是在一台NFS主
机上跟某远程的NFS的信息。如果某个远程主机是通过rpcinfo -p显示安装
服务的话,那么用showmount命令可以询问到rpc.nounted中的detail。它
的参数包括有showmount -a(命令打印一列已经加载输出文件系统的host)
和showmount -e(命令请求打印的列表包含通过NFS输出的文件系统以及它
的授权)。NFS uid 16-bit就是个很显著的例子,一个NFS server依赖客户
端的认证,但这种认证只是请求时的IP add,有个声称客户uid为0+2^16=65536
的用户被accept并且不重新映射为新UID。当这个用户提出请求访问拥有的文
件时,对uid的比较仅对其低16位进行,就将允许这个用户伪装成根。
就本身而言,NFS应该是不对Internet开放的,即便是你需要那么做但
也仅仅只能是读。如果说可以对根可以写的话,那么这对网络安全来说绝对
是一个笑柄了。NFS依赖于客户方认证的。如果对showmount所输出的信息多
加以分析的话,寻找它的漏洞所在,利用很多诸如Nfsbug、nfsmunu等工具
就可以对NFS进行jack in。
10、获取NIS信息:
网络信息服务NIS(以前也叫做黄页服务)允许在一个单位或者组织结
构中共享系统管理方面的信息数据库,比如用户组、口令文件等,NIS可以为
重要的管理文件提供重要服务,并自动传送这些文件。使用NIS可以达到集中
管理的目的,不用再那么麻烦的在多台不同机器上修改文件,能够保证整个
网络上管理信息的一致性。NIS也是基于客户/服务器模型。通过NIS访问同样
的数据库的客户机的集合称为域。那些供网络查询的数据库通常由几个标准
的Unix文件转换而成,这些数据库一般称为NIS映像。NIS的域的概念类似于
DNS中的域。
在一个NIS域中所有的计算机不但共享了NIS数据库文件,也共享着同一
个NIS server。为了访问NIS信息host必须有相应的域名,并且只能属于一
个特定的域。NIS主server保存所有的数据库文件并对客户提供数据库访问
和其它一些相关服务。NIS的数据库ASCII码文件一般保存在/var/yp/dom-
inname。而在Unix下通过命令#domainname x可以来检查或设置NIS域名。
NIS server在向NIS/yp域中所有的系统分发关于数据库文件时,一般
不做检测,只要对方是自己NIS域内并且知道其域名的每个ypbind用户。这
显然就安全而言不是什么好事情,但对攻击者来说则是不错的现象。如果说
用ftp或者telnet smtp发去N次请求,导致NIS客户请求的响应发生反应迟钝
的现象,这样就使NIS客户广播一个请求,这请求跟另一个NIS server相连。
那么攻击的时候对这个请求进行响应,让它连到自己的系统之上,并向该客
户发布口令映射,如果这么完整的做完的话那么也就可以结束这次攻击的第
一阶段了。
做为管理者而言,NIS同NFS一样,都不应该对Internet是访问的。更不
应在不信任的环境下使用。保持良好的NIS域名秘密而不易被猜到。
11、获取Web server信息:
收集Web server的信息是攻击中很main的环节,虽然说Web的守护进程
httpd不会发生间接暴露server信息的情况,但Web page上的信息却很多都
是有用的,当然了,这有用是针对攻击者而言的。比如说一个信箱用户名也许
对应的就是一个可以登陆系统的用户名等等。而CGI、ASP漏洞被攻击者所利
用来攻击系统的事件也都屡见不鲜。这里可以为获取semxa.com的Web页面路
径做些测试。简单的利用浏览器眼睛多注视左下角就可以获得页面的存放路
径,大多时间还将获得有关本地环境和URL的信息,如果目标机器对它的URL
是隐藏的话那么这个就是不存在的。通过建立一个Web站点并使semxa.com内
的成员机跟它相连接,这样可以获得一些客户信息,但也只实用于LAN。我
一般是利用浏览器观察,把暂时认为有用的信息会记录下来。
发布人:Crystal 来自:linux之家