2010年4月12日
admin 1,496 views
透析Linux日志查入侵
来源:http://hi.baidu.com/xi4o7e
日志对于网络安全来说无疑是非常重要的,它记录了系统每天发生的各种各样的事,你可以通过它来检查错误发生的原因,或者受到攻击后攻击者留下的痕迹。日志主要的功能有审计和监测,同时它也可以实时的监测系统状态,监测入侵者。
日志子系统分类
在Linux系统中,有三个主要的日志子系统:
连接时间日志——由多个程序执行,把纪录写入到/var/log/Wtmp和/var/run/Utmp,Login等程序更新Wtmp和Utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(Pacct或Acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志——由Syslogd(8)执行。各种系统守护进程、用户程序和内核通过Syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下:
Access-log:纪录HTTP/WEB的传输。
Acct/pacct:纪录用户命令。
Aculog:纪录MODEM的活动。
Btmp:纪录失败的纪录。
Lastlog:纪录最近几次成功登录的事件和最后一次不成功的登录。
Messages:从Syslog中记录信息(有的链接到Syslog文件)。
Sudolog:纪录使用Sudo发出的命令。
Sulog:纪录“su”的使用。
Utmp:纪录当前登录的每个用户。
Wtmp:一个用户每次登录进入和退出时间的永久纪录。
Xferlog:纪录FTP会话。
阅读全文…
2010年4月2日
admin 1,982 views
来源:kiindle’s blog
UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统的 痕迹,UNIX系统存放LOG文件,普通位置如下:
/usr/adm – 早期版本的UNIX
/var/adm – 新一点的版本使用这个位置
/var/log – 一些版本的Solaris,linux BSD,Free BSD使用这个位置
/etc – 多数UNIX版本把utmp放在这里,有些也把wtmp放在这里,syslog.conf在这里
下面的一些文件根据你所在的目录不同而不同:
acct 或 pacct — 记录每个用户使用的命令记录
access_log — 主要当服务器运行NCSA HTTPD时, 记录什么站点连接过你的服务器
aculog — 保存着你拨出去的MODEMS记录
lastlog — 记录了用户最近的LOGIN记录和每个用户的最初目的地,有时是最后不
成功LOGIN的记录,当一个用户登陆到unix系统,注册程式在lastlog文件中查找该用户的uid,如果该程式找到了
该用户的uid,unix就会显示最后一次登陆的时间和tty(终端号)
loginlog — 记录一些不正常的LOGIN记录
messages — 记录输出到系统控制台的记录,另外的信息由syslog来生成
security — 记录一些使用UUCP系统企图进入限制范围的事例
sulog — 记录使用su命令的记录.他通常在/var/adm/sulog.如果你在机器上使用了su命令,别忘了清除哦.
阅读全文…
2010年3月31日
xion 2,080 views
# Exploit Title: [paper] Tutorial SQL injection secara ringkas
# Date: January 19th, 2010
# Author: r3v3r7
# Greetz: n3wb0rn, hmsec, tbdsec…
# Language: Bahasa Melayu
————————————————————————————–
Pengenalan:
————————————————————————————–
Defacement? Best ker? bagaimana caranya? Sebelum tu apa itu SQL dan SQL injection? ok, SQL ialah Structured Query Language.. cara sebutannya ialah es-q-el dan bukannya sequel(ramai yang menyebut seperti ini)… SQL sebenarnya ialah Relational Database Management sayastem, database schema creation and modification, and database object access control management.
Ok, SQL injection pula ialah satu tekinik untuk mendapatkn error pada sesuatu laman web… contohnya, 1=1 ialah TRUE dan 1=0 ialah FALSE, maka, statement TRUE akan digunakan memaparkan isi kandungan web tersebut.. Dan jika statement itu FALSE, maka web tidak akan memaparkan isi kandungan yang sepatutnya…
Bagaimana untuk menjadikan sesebuah web itu untuk memaparkan statement FALSE? Sebenarnya, ia bergantung samada web itu telah diPATCH/diFILTER daripada vuln, bug, error atau exploit…
Bagaimana pula untuk mengetahui samada sesebuah web itu mempunyai vuln/bug? Banyak cara dapat digunakan seperti menggunakan vuln scanner, google dork(ikut nasib), bot, dan lain2 lagi…
阅读全文…
2010年3月30日
xion 7,571 views
来源:milw0rm.com
######
Info
######
Title : The Art of Grey-Box Attack
Author : ZeQ3uL (Prathan Phongthiproek)
JabAv0C (Wiswat Aswamenakul)
Team : CWH Underground [www.milw0rm.com/author/1456]
Website : cwh.citec.us / www.citec.us
Date : 2009-07-04
##########
Contents
##########
[0x00] – Introduction
[0x01] – The Art of Microsoft Windows Attack
[0x01a] – Scanning & Enumeration
[0x01b] – Gaining Access
[0x01c] – Escalating Privilege
[0x02] – The Art of Unix/Linux Attack
[0x02a] – Scanning & Enumeration
[0x02b] – Gaining Access
[0x02c] – Escalating Privilege
[0x03] – Metasploit Ninja-Autopwned
[0x03a] – Nmap+Metasploit Autopwned
[0x03b] – Nessus+Metasploit Autopwned
[0x04] – Client-Side Attack with Metasploit
[0x04a] – Metasploit Payload Generator
[0x04b] – MS-Office Macro Ownage
[0x04c] – AdobeReader PDF Ownage
[0x05] – References
[0x06] – Greetz To
阅读全文…
2010年3月29日
admin 1,821 views
年终了,谈点个人入侵的经验
作者:oldjun
From oldjun(http://www.oldjun.com/)
这一年变化比较大,换了好几个工作,最终还是回到了安全的岗位,合乎自己的职业规划!
平时空闲时间经常找些站练练手,基本是新闻闹出轰动的站与一些知名的大站。2008年的成果还是颇丰的,从某某国内2大知名社区论坛到某某著名交友站到某 某2大读书站到某某mobile到某某政府站等大站,再到若干名不见经传的小站,都闪过的我的影踪。但我个人觉得没什么好炫耀的,于是没替换首页,没留下 黑页,顶多是把源代码打包带回家(硬盘吃不消了,准备买个大的移动硬)。说句老实话,随便替换一个首页,就能让我出名,比如某某禁止降价的房产局站(服务器有黄片),比如某某闹禽流感的政府站,我都提前几天拿下了;不过我不想出名,更不想进局子~
下面谈谈个人入侵的经验,不分语言,只谈拿webshell,至于提权,这里不说,我也很少提权,除非确实有必要!~
2010年3月8日
admin 1,805 views
来源:http://xi4oyu.blogbus.com/logs/19245117.html
文章作者:xi4oyu
Linux 入侵踪迹隐藏攻略v0.1
免责声明:
本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,转载请保留。
0.前言:
被 警察叔叔请去喝茶时间很痛苦的事情,各位道长如果功力不够又喜欢出风头的想必都有过这样的“待遇”。如何使自己在系统中隐藏的更深,是我们必须掌握的基本 功。当然,如果管理员真的想搞你而他的功力又足够足的话,相信没什么人能够真正的“踏雪无痕”。Forensic 与Anti-Forensic,说到底只是你和管理员之间的技术间较量而已。貌似很少有专门说这个的文章,大部分就是下载个日志擦除的软件,然后运行下就 可以了,对小站可以,但对方如果是经验丰富的管理员呢?我们该如何应对?我在这里只介绍unix-like system下的,至于windows或者其他什么系统下的,欢迎各位道友补充。
1.最小化你的日志
P.S 访问目标前用跳板我就不废话了,你是VPN也好3389也罢,ssh中转,代理都行。总之记住一点—直接连接攻击目标是愚蠢的
阅读全文…
2010年3月5日
admin 4,774 views
本文首发《黑客X档案》,版权规作者和黑X档案所有,未经允许请勿转载。
ps:菜鸟写给菜鸟看得文章,见笑了~~~
今天给大家带来的是一次入侵linux服务器,获得root权限,留下后门,清除日志的经历。此次入侵全部在Ubuntu下进行的,但是跟平台是没有关系的,只要有个浏览器就可以了。
相信大家还是入侵Windows的服务器多一些,其实入侵linux服务器同样简单,一些基本思路就是也是通过web漏洞比如rfi、上传漏洞、sql注射等得到webshell、继而反弹回shell之后通过本地提权exp进行提权,获得root权限。
linux的服务器lamp的组合比较多,所以我们在网上搜php的网站,通过文件的大写是否敏感就能得知是否为linux服务器。
实战演练
获得webshell:
Google搜索 “inurl:php?id=120 site:.cn”,随便点开一个,加一个”‘”,返回如下错误,
如图1
2010年3月4日
admin 3,420 views
本文首发《黑客防线》201001期,版权规作者和黑防所有,未经允许请勿转载。
前几天不小心看到了一个网站,存在几个漏洞但是因为一些漏洞利用的局限性,很难进行利用拿到shell,没想到最后是因为装了一套流量统计程序才拿到得shell。
确定文件泄露漏洞跟包含漏洞
Google搜索发现下载文件的url存在路径以及文件名,把路径换成”../../../../../etc/passwd”,成功下载到了文件,如图1,提交一个不存在的文件居然没有返回网站绝对路径不过没关系可以用相对路径,确定存在任意文件下载漏洞,于是就进行了一次检测。
阅读全文…
