¿Quiere una jeringa de proceso?
Principio:
Aunque los ingenieros de software que diseñan software para servidores hacen todo lo posible para mejorar la seguridad del sistema, el nivel desigual de los administradores del sistema o la baja conciencia de seguridad a menudo nos brinda oportunidades. por intrusión.
El análisis de algunos casos en los que se han pirateado páginas de inicio muestra que los intrusos están más interesados en invadir los servidores web y los servidores FTP porque son los dos métodos más sencillos. Suponiendo que no conoce el sistema UNIX y el SERVIDOR WEB, probablemente existan los siguientes pasos: (Nota: todo el contenido siguiente es solo para discusión teórica y referencia, la imitación está estrictamente prohibida; de lo contrario, será responsable de las consecuencias) .
Primero, comprenda el sistema que desea invadir
Actualmente, UNIX y Linux son los principales sistemas operativos utilizados como servidores en la red. Si quieres hackear estos sistemas, debes saber algo sobre ellos.
La mayoría de los comandos utilizados en DOS tienen comandos correspondientes en UNIX y Linux (porque el desarrollo inicial de DOS tomó prestado de UNIX). Los siguientes son los comandos más importantes correspondientes a los comandos de DOS cuando se utiliza una cuenta SHELL:
Ayuda=Ayuda
CP=Copiar
MV=Mover
LS=DIR
RM=DEL
CD=CD
Para ver que QUIÉN también está en el sistema, el usuario puede escribir QUIÉN QUIÉN comando, para obtener información sobre un usuario en el sistema, escriba FINGER. Estos comandos básicos de UNIX le permiten obtener información sobre el sistema que está utilizando.
En segundo lugar, descifre la contraseña
En el sistema operativo UNIX, las contraseñas de todos los usuarios del sistema se almacenan en un archivo. El archivo se almacena en el directorio /etc y su nombre. es contraseña. Si cree que todo lo que tiene que hacer es obtener este archivo e iniciar sesión en el sistema con la contraseña del archivo, está completamente equivocado. Los archivos passwd en UNIX y Linux son especiales. Las contraseñas de todas las cuentas se han recompilado (es decir, el método de cifrado DES mencionado anteriormente) y estas contraseñas se compilan en una dirección, lo que significa que no hay forma de revertirlas.
Pero todavía existen algunos programas que pueden obtener estas contraseñas originales. Recomiendo un programa para descifrar contraseñas "CrackerJack", que también es un software que utiliza diccionarios para compilar archivos de diccionario de forma exhaustiva. Primero, "CrackerJack" compilará cada valor en el archivo del diccionario y luego comparará los valores compilados con el contenido del archivo de contraseña. Si se obtiene el mismo resultado, se informará el cifrado no compilado correspondiente. El software evita hábilmente la restricción de que las contraseñas no se pueden descompilar y utiliza comparaciones exhaustivas para obtener la contraseña. Existen muchas herramientas que aprovechan este principio para obtener contraseñas. Puedes buscar en línea.
En tercer lugar, obtenga el archivo de contraseña
Esta es la parte más difícil. Obviamente, si un administrador tuviera dicho archivo de contraseña, no lo dejaría allí para que otros lo obtengan fácilmente. El intruso debe encontrar una buena manera de obtener el archivo de contraseña sin ingresar al sistema. Aquí recomiendo dos métodos:
El directorio 1.tc no se bloqueará en el servicio FTP. El intruso puede utilizar el programa FTPclient para iniciar sesión de forma anónima y luego comprobar si /etc/passwd tiene establecido el permiso de lectura anónima. Si es así, haga una copia de seguridad inmediatamente y utilice el software de decodificación.
2. En algunos sistemas, habrá un archivo llamado PHF en el directorio /cgi-bin. Esto será mucho más conveniente si hay un archivo comprometido en el servidor. Debido a que PHF permite a los usuarios leer archivos de forma remota en el sistema del sitio web, los usuarios pueden usar el navegador para obtener el archivo de contraseña escribiendo la URL: mandlogin en la barra de direcciones del navegador.
demodemo
umountfsysumountfsys
Sincronización
adminadmin
Invitado
Damon Damon
Entre ellas, rootmountfsysumountfsysinstall (a veces sync), etc. son cuentas de nivel raíz, es decir, tienen permisos sysop (administrador del sistema).
Por último, es necesario introducir los archivos de registro UNIX. Muchos intrusos no quieren que las computadoras pirateadas los rastreen, entonces, ¿cómo se hace esto?
Los administradores de sistemas dependen principalmente de los registros del sistema, que a menudo llamamos archivos de registro, para obtener rastros de intrusiones e información como las direcciones IP de los intrusos. Por supuesto, algunos administradores utilizan herramientas de terceros para registrar intrusiones en las computadoras. Aquí hablamos principalmente de los archivos que registran los rastros de intrusión en los sistemas UNIX generales.
Existen muchas versiones de sistemas UNIX y cada sistema tiene diferentes archivos de registro, pero la mayoría de los sistemas deberían tener ubicaciones de almacenamiento similares. Las ubicaciones más comunes son las siguientes:
/usr/adm, versiones anteriores de UNIX. ;
/var/adm, las versiones más recientes utilizan esta ubicación.
/var/log, utilizado por algunas versiones de Solaris, LinuxBSD y FreeBSD.
/etc, la mayoría de las versiones de UNIX ponen utmp aquí, algunas también ponen aquí wtmp, esta es también la ubicación de syslog.conf
Las funciones de algunos archivos se enumeran a continuación. Por supuesto, también varían según el sistema comprometido.
Acct o pacct, registra los registros de comando utilizados por cada usuario.
Access_log, utilizado principalmente para ejecutar NCSAHTTPD en el servidor. ¿Qué sitios web en este archivo de registro se conectarán a su servidor?
Aculog, que mantiene un registro de sus módems marcados;
Lastlog, que registra el inicio de sesión más reciente de un usuario y el destino inicial de cada usuario y, a veces, el último registro fallido. /p>
Loginlog, registra algunos registros de inicio de sesión anormales
Mensajes, registra la salida a la consola del sistema, otra información es generada por syslog
Seguridad, registra algunos casos de intentar utilizar el sistema UUCP para ingresar al rango restringido
Sulog, registrar el uso del comando su
Utmp, registrar todos los usuarios actualmente conectados al sistema; Este archivo cambia continuamente a medida que los usuarios entran y salen del sistema;
Utmpx, una extensión de UTMP;
Wtmp, registra los eventos de inicio y cierre de sesión del usuario;
Syslog es el archivo de registro más importante, que se obtiene utilizando el demonio syslogd.
Información de registro:
/dev/log es un socket de dominio UNIX que acepta mensajes generados por procesos que se ejecutan en la máquina local;
/dev/klog, un dispositivo que recibe mensajes del kernel UNIX;
El puerto 514 es un socket de Internet que acepta mensajes syslog generados por otras máquinas a través de UDP;
Uucp, información de registro UUCP, se puede actualizar por actividad UUCP local o modificado por operaciones iniciadas por el sitio remoto, incluidas las llamadas realizadas y aceptadas, solicitudes realizadas, remitente, hora de envío y host de envío;
Lpd-errs, maneja registros de información de fallas de la impresora;
Registro Ftp, que se puede registrar ejecutando ftpd con la opción -l;
Registro HTTPD, en el que el servidor httpd registra cada registro de acceso WEB;
Historial log, este archivo registra los comandos ingresados recientemente por el usuario;
Vold.log, registra los errores encontrados al usar medios externos.
Los anteriores son los pasos principales para invadir servidores basados en sistemas UNIX y Linux. Ahora debería comprenderlos. Si no comprende el sistema UNIX, es muy difícil dominarlo.
Finalmente, me gustaría enfatizar nuevamente que no se permite la reproducción de todo el contenido anterior y es solo para el aprendizaje mutuo y la discusión de conocimientos teóricos. También está prohibida la imitación; de lo contrario, usted será responsable de todas las consecuencias.