Linux系统下由论坛到SSH的入侵分析

从来我不风气开qq，可心腹打复电话说有事找我，遂上线。由于我用的qq是能表露ip地方的木子本子，以是看到心腹的ip：xxx.xxx.19.24，创造心腹是在书院的试验室上钩。我忽发奇想，想看看她们试验室的呆板里都有些什么货色，由于往日我领会她们试验室的机子在一个c段里——什么？你让我径直给心腹发跷跷板？那小子比猴都精，而且那小子的本领也不是省灯盏，仍旧用曲折策略吧！ 　　从百宝箱里随意祭出个扫描器，我用的是这个小东东：bluesportscan，它的扫描速率超快，怅然会漏报。先扫三十台呆板吧，端口1—150。扫描完后，一台呆板惹起了我的提防：呆板ip为xxx.xxx.19.7，开了22和80端口。开了22端口，八成即是台linux呆板了。拿securecrt连一下22端口： 　　小常识：22号端口对应linux下的ssh，这一效劳有很多缺点，倡导在其它端口运转ssh。  　　79端口的finger也没开，用户花样前只领会大概的是root，暗号先来个123，归来缺点，可见要从别处动手了。别处犹如只开了80，厥后夸大了端口扫描范畴又扫出个oracle的3306端口，然而谁人数据库用户root的暗号不是空，总不许让我挂古字典去跑吧？仍旧转到80端口吧。 　　telnet上它的80端口，而后get，归来效劳器消息：server: apache/1.3.27 (unix) php/4.2.3。用的阿帕奇效劳器，不要商量web效劳器自己的缺点了，去网站转悠吧。地方栏里敲入它的地方：xxx.xxx.19.7，回车。网页出来了，可见没有效假造长机什么的，八成是弟子本人作的货色，然而，固然网页实质比拟官方，但发觉网站犹如满目疮痍。用php和html做的，有犹如改得面目一新或本人做的消息体例，在作品处置体例里找了几个点试了试sql注入，没有胜利，算了，到乒坛里看看吧。 　　进了乒坛里，先风气性的用admin暗号admin登录，果然胜利了，倒啊倒！找个上传点扔个php方便之门上去！接下来却让我事与愿违，处置面板里转了半天也找不到个上传点，别说上传头像了，用户材料里就没头像这一项。哪个乒坛这么气人？看看网页底部：本乒坛代码来自xxx.com，处置员还不错，没改版权消息。看到了这边想到了什么？赶快去你本人的网站改敏锐字符？呵呵，晚了，地方中打入xxx.com回车，哦，从来是个不错的部分网页，看他的大作里有个微型php文本乒坛，即是这个了，呵呵，好在方才在乒坛里没试sql注入，否则就枉然傻劲了。尽管三七二十一，载入下来再说。 　　载入实行，解压，创造乒坛根目次下有个db文献夹，这就该当是所谓的乒坛“数据库”了，翻开此文献夹，创造内里都是些.dat文献，用登记本翻开，居然是文本方法。警告的双眼一下子就盯到了谁人user.dat上。翻开，实质如次： admin＜~＞p|lcv＜~＞3＜~＞ecawen@21cn.com＜~＞peking＜~＞http://＜~＞＜~＞＜~＞＜~＞＜~＞3＜~＞ 2004-01-01＜~＞1 　　admin是默许用户，p|1cv该当即是加密后的暗号了，紧接的“3”代办处置员，反面的就不必看了。当务之急地在地方栏里里输出：xxx.xxx.19.7 /forums/db/user.dat，天，把内里的实质全打到ie里了，赶快生存下来。 　　好了，找要害的场合，最向来的用户，普遍即是第一二个，找到了，是处置员权力，用户名为aaa，暗号为4$@a%g，破译出了这个暗号，按人的风气，体例暗号不是这个也不远了，起码会进步第一次全国代表大会步。从新领会乒坛代码，创造用以次的本领做的加密： function t_encrypt($text, $key) { $crypt = ""; for($i=0;$i＜strlen($text);$i++) { $i_key = ord(substr($key, $i, 1)); $i_text = ord(substr($text, $i, 1)); $n_key = ord(substr($key, $i+1, 1)); $i_crypt = $i_text + $i_key; $i_crypt = $i_crypt - $n_key; $crypt .= chr($i_crypt); } return $crypt; } 再有个key，key在哪呢？在db下的一个mishi.php里，翻开实质如次： ＜? $key="jpjtvdomfmawwttsdhoxurmygjjtauefjuimueurisecggpymneslwowuqnzmmgmvjvccmeye uselymzoinxvqonmhjqjhljywixrdxboqdmmfidlhzrcoatnldlmwvinljayirwqcgazyvfrwvgbgroqfxiqruu rtkpogbkgdibeqejehfamujlqasitbizcxasobkl"; ?＞ 领会加密因变量的算法：从暗号第一位发端，取暗号的一个字符，取key对应位的一个字符，变换成ascii码相加，而后相加截止再减去key中下一位的ascii，而后把结果截止再变换成字符即所谓密文保存。 　　substr(string,i,j)因变量的效率是将字符串string的第 i 位起掏出 j 个字符。ord()和chr()则辨别是字符到ascii和ascii到字符的变换因变量。简化一下上头算法即是：$i_crypt=$i_text+$i_key-$i+1_key。先拿第一位算吧，假如原暗号第一位ascii码为x,则： 　　x+ascii(j)-ascii(p)=ascii(4) 　　用ascii码算即是x+106-112=52 　　x=58变换成字符即是“：”，好怪僻。把六位暗号十足恢复回顾，再去乒坛登录，糟了，蓄意幻灭了，提醒暗号缺点！处置员大约不会去改代码中加密局部的算法的，莫非，处置员把key改了？ 　　重又回到乒坛，备案一个新用户ecawen，暗号mygod，而后翻开它的user.dat观察，加密后的密文为p|lcv，按载入回顾的乒坛源代码中的密钥算了算，不对，居然key被改了。但包括key的文献是个mishi.php，key也在php语句里，长途基础没辙获得，欣赏器里打/forums/db/mishi.php归来的不过空缺页面，由于传出时php语句早被效劳器过滤了。如何办，想了大概几秒钟，仍旧有方法的，咱们不确定要领会真实密钥，领会密文和算法了，这么大略的算法咱们该当能把须要的搞出来。 　　假如未知密钥第一位是ascii码a，每二位是b，依该类推…… 　　我的用户ecawen的暗号（我备案的，固然领会，我输的是mygod）加密后密文是p|lcv，以是咱们不妨如许算： 　　（为了看着简略ascii(m)咱们径直用ascii码109） 109+a-b=112 121+b-c=124 103+c-d=108 . . . 　　看晕了吧，本来，咱们加个（）就恍然大悟了。 109+(a-b)=112 121+(b-c)=124 103+(c-d)=108 . . . 　　好了，拿出他的处置员密文来算吧： x+(a-b)=52 x+(b-c)=36 x+(c-d)=64 . . . 　　把x再恢复成字符，好了，原暗号出来了吧？有点搀杂？越如许你会越冲动的！然而，有点要提防的是，你备案的用户暗号位数要不少于处置员暗号位数，此处处置员暗号是六位，我一不提防备案了个五位的，到第六位不许算了，还得另备案个用户，走了弯道。 　　好了，拿解出的暗号登录乒坛，胜利登录。翻开securecrt经过ssh登录其体例，用户名root，暗号为刚解出的谁人暗号，怀着冲动的情绪默念到第n声芝麻开闸的功夫，门开了！进去转吧，由于是心腹书院的呆板，代劳我都没用，有事call心腹出来垫背！ 　　厥后还创造体例中生存与乒坛处置员同名的谁人aaa用户且暗号也沟通，就不复胪陈了。那些ida/idq、webdav什么的早已驶去了， 报复波谁人缺点沸沸扬扬后也早无影无踪了，此刻特意找体例缺点的报复及侵犯仍旧快跟不上期间了，而且网上很多长机前方又是风火墙又是ids的。而转而领会网站归纳缺点，从网站数据库动手，sql注入等那些本领恰是高潮，以是，处置员同道们，看好尔等的每道关隘、每个详细！