http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_level&no=201 [º¹»ç]
¾È³çÇϼ¼¿ä?
ÀÏ´Ü Áö±Ý À̱ÛÀº ·¹º§4¸¦ ÁßÁ¡À¸·Î ¾²°í ÀÖ´Â °ÁÂÀÌÁö¸¸
·¹º§4¸¦ Ç®¸é¼ ¾ò¾î¾ß ÇÏ´Â Áö½ÄµéÀ» ²¿¸®¿¡ ²¿¸®¸¦ ¹°¾î¼ ¼³¸íÇÏ°Ú½À´Ï´Ù;
/etc/xinetd.d ¿¡ backdoor °¡ ÀÖ´Ù´Â ÈùÆ®´Â º¸¼ÌÀ» °Ì´Ï´Ù~
Á¶±Ý ¾Æ·§±Û·Î ³»·Á°¡ º¸¸é Á¦°¡ ¿Ã¸° ±ÛÀÌ ÀÖ½À´Ï´Ù ¤Ð_¤Ð (½½½½ ¶Ç °°Àº Áú¹®ÀÌ;)
µÎ¹øÁ¤µµ¾ß~ º¹½ÀÂ÷¿øÀ¸·Î ±ÛÀ» ¿Ã¸³´Ï´Ù.
(Áú¹® ÇϽô ºÐµé ´öºÐ¿¡ Àúµµ °øºÎ°¡ ¸¹ÀÌ µË´Ï´Ù °¨»çÇÕ´Ï´Ù ³ÒÁ×!)
xinetd.d µð·ºÅ丮¿¡ ´ëÇØ ¾Æ¼Å¾ß ÇÕ´Ï´Ù.
xinetd.d µð·ºÅ丮´Â ½´ÆÛµ¥¸óÀ̶ó°í ÇÏ´Â µ¥¸óµéÀÇ ¿ÍµûÀÌÁö¿ä ¤±_¤±=b
À½.. ¿©±â¼ ³ª¿À´Â µ¥¸óÀ̶ó´Â °Ç
Ç×»ó ¼öÇàµÇ°í ÀÖÀ¸¸é¼
Ŭ¶óÀ̾ðÆ®°¡ ÀÚ½ÅÀ» ¿äûÇÏ¸é ¸ÃÀº¹Ù ÀÓ¹«¸¦ ¼öÇàÇϵµ·Ï ÇÏ´Â ÇÁ·Î¼¼½ºµéÀ» °¡¸®Å°´Â
°Ì´Ï´Ù.
¾Æ¹«Æ° ´Ù½Ã µ¥¸óµéÀÇ ¿Íµû·Î µ¹¾Æ¿Í¼..
ÀÌ xinetd.d °¡ ÀÖ±â Àü±îÁø ±×¸®°í xinetd.d ÀÇ ÅëÁ¦¸¦ ¹ÞÁö ¾Ê´Â µ¥¸óµéÀº
¾ðÁ¦³ª ÀÚ½ÅÀ» ã¾Æ ÁÖ´Â À¯Àú°¡ ÀÖÀ»¶§±îÁö
±× ¸¹Àº µ¥¸óµéÀÌ
¿Ø¸¸ÇÑ °÷¿¡¼µµ apache , ftp , telnet ¿Ü¿¡ ÀÌ°ÍÀú°Í ÀÖÁö¿ä (¾Æ´Â°Ô Àú°Íµé ¹Û¿¡ ¾øÀ½ -.-;)
¾î·µç À̰͵éÀº 24½Ã°£ ¶á ´«À¸·Î ¹ãÀ» Áö»õ¿ó´Ï´Ù.
ÇÒÀϵµ ¾øÀÌ ¸ÛÇÏ´Ï ¾Æ¹« »ý°¢µµ ¾øÀÌ ¾Õ¸¸ ¹Ù¶óº¸°í ÀÖ´Â ±× ½ÉÁ¤À» ¾Æ½Ã³ª¿ë ¤±_¤±a
¸Þ¸ð¸®´Â À̰͵éÀ» °è¼Ó À¯Áö½ÃÅ°±â À§ÇØ Áö¼ÓÀûÀÎ ¸Þ¸ð¸® ÇÒ´çÀ» ÇÕ´Ï´Ù.
ÀÌ°ÍÀº Á¤¸».. ÄÄÇ»ÅÍÀÇ ¼º´ÉÀ» ÀúÇϽÃÅ°´Â Áö¸§±æÀÔ´Ï´Ù.
±×·¡¼ ÀÌ ¿Íµû! ½´ÆÛµ¥¸óÀÌ È¥ÀÚ 24½Ã°£ ¶á´«À¸·Î ¹ãÀ» Áö»õ¿ì´Â°Ì´Ï´Ù.
±×¸®°í ÇÊ¿ä·Î ÇÏÁö ¾Ê´Â µ¥¸óµéÀº ¸ðµÎ ÀáÀ» Àç¿ó´Ï´Ù (sleep~!)
±×·¯´Ù°¡ ¾î´À³¯(?) À¯Àú°¡ ftp µ¥¸óÀ» ¿äûÇϸé
ÈÄ´Ù´Ù´Ú ´Þ·Á°¡¼ µÎµé°Ü Æм ±ú¿ó´Ï´Ù
±×·³ ftp µ¥¸óÀº
Ŭ¶óÀ̾ðÆ®°¡ ¿äûÇÑ ÀÏÀ» ¸ðµÎ ó¸®ÇÏ°í ´Ù½Ã ÀáÀ» Àâ´Ï´Ù -_-;
ÀÌÁ¦
xinetd.d ½´ÆÛµ¥¸ó µð·ºÅ丮¿¡ ÀÖ´Â backdoor ÆÄÀÏÀ» ºÁº¸Á®...
- backdoor ÆÄÀÏ ³»¿ë..
service finger
{
disable = no
socket_type = stream
wait = no
user = level5
server = /home/level4/tmp/backdoor
log_on_failure += USERID
}
ÇϳªÇϳª Æĺ¾½Ã´Ù.
service
¼ºñ½º À̸§À» ¸í½ÃÇϸç /etc/services¿¡ µî·ÏµÇ¾î ÀÖ¾î¾ß ÇÑ´Ù.
** backdoor ÆÄÀÏ¿¡¼´Â finger ¼ºñ½º¸¦ ¸í½ÃÇß½À´Ï´Ù. (service finger)
disable
µ¥¸óÀ» ½´ÆÛµ¥¸óÀÇ ¿µÇâÀ» ¹Þ¾Æ ½ÇÇàÇÒ¶§´Â no
µ¥¸óÀ» ¾²Áö ¾ÊÀ»¶§´Â yes ¸¦ ÇÒ°ÍÀÔ´Ï´Ù.
disable ´Â ¹«·ÂÇÏ°Ô ÇÏ´Ù ¹¹ ±×·±¶æÀë;
±×·¯´Ï±î ¹«·ÂÇÏ°Ô ÇÏÁö ¾Ê°Ú´Ù;; ¶ó´Â ¶æÀÌ µÉ°Å°°°í;
yes ´Â ¹«·ÂÇÏ°Ô ÇÒ°ÍÀÌ´Ù; ¶ó´Â ¶æÀÌ µÉ°Í °°³×¿ä.
socket type
TCPÀÏ °æ¿ì¿¡´Â stream, UDPÀÏ °æ¿ì¿¡´Â dgramÀ̶ó ¸í½ÃÇÑ´Ù.
** À§´Â tcp ÀÇ °æ¿ìÀ̱⠶§¹®¿¡ stream À» ¾´´Ù
tcp ¿Í udp ¿¡ ´ëÇØ ¼³¸í Çغ¸°Ú½À´Ï´Ù.
tcp¿Í udp´Â ÀÏ´Ü Àü¼ÛÁ¦¾îÇÁ·ÎÅäÄÝ ÀÔ´Ï´Ù.
tcp´Â ¿¹·Î µé¸é ¿ì¸®°¡ ÀͽºÇ÷οö ¸¦ ÄѸé
¿ì¸° Áß¾ÓÄÄÇ»ÅÍ ¼¹ö¿Í ¿¬°áÀÌ µË´Ï´Ù.
ÀÎÅÍ³Ý ½ÃÀÛ ÆäÀÌÁö ¾Æ½ÃÁÒ?
¸¸¾à yahoo.co.kr À̶ó°í ÇÑ´Ù¸é
yahoo.co.kr ¼¹ö¿¡ ÀÖ´Â html ÆÄÀϵéÀ̶ó´øÁö;; À̹ÌÁö¶ó´øÁö
¸ðµÎ ´Ù¿îÀ» ¹Þ½À´Ï´Ù. ÇÏÁö¸¸ ±×·¯±â Àü¿¡
¿ì¸®µéÀÇ ÀÎÅͳÝÀº ½ÃÀÛÆäÀÌÁö¿¡ µé¾î°¡±â Àü¿¡
Àá½Ã ªÀº½Ã°£µ¿¾È ¹º°¡¸¦ Á¸£¸£¸¤ ÇÏÁö ¾Ê³ª¿ë
±×°Ô ¾ÕÀ¸·Î ¿ì¸®°¡ yahoo ¿¡ µé¾î°¡¼ ±×°÷ÀÇ ÆÄÀϵéÀ» Àü¼ÛÇÏ´Â ÀÏÀÌ
ÀÖµç ¾øµç °£¿¡
ÀÏ´Ü ¸¸¾àÀÇ »çÅ¿¡ ´ëÇÑ °æ¿ì¸¦ ¹¾î¼ Àü¼ÛÇÕ´Ï´Ù.
µ¥ÀÌŸÀÇ È帧À» Á¦¾îÇÏ´Â ÇÁ·Î±×·¥ À̳ª~
µ¥ÀÌÅÍÀÇ ¿¡·¯¸¦ ¸·¾ÆÁÖ´Â ÇÁ·Î±×·¥ ~
µ¥ÀÌÅÍÀÇ È¥ÀâÀ» Á¦¾îÇÏ´Â ÇÁ·Î±×·¥~
¹¹ ÀÌ·± °ÍµéÀ» ¹¾î¼ ¹Ì¸® Àü¼ÛÇÏ°Ô µÇ´Âµ¥¿ë
ÀÌ·¯ÇÑ ¼ºñ½º¸¦ °ü°èÁ᫐ ¼ºñ½º (connection-oriented service)¶ó°í ÇÕ´Ï´Ù.
TCP´Â °ü°èÁ᫐ ¼ºñ½º Àü¼ÛÁ¦¾î ÇÁ·ÎÅäÄÝ À̶ó°í ÇØ¾ß µÉ¶ó³ª¿ä( @_@)
±×·¡¼ ¿ì¸®°¡ ÀÎÅͳݿ¡¼ Àü¼Û¿¡ ½ÇÆÐ Çϸé
¾Ë¼ö°¡ Àִ°̴ϴÙ.
µ¥ÀÌÅÍÀÇ Àü¼Û Á¦¾î°¡ Á¤È®ÇÏÁö¸¸ ¹Ý¸é¿¡ ÀÌ°ÍÀú°Í ÇÒ·Á´Ï ¼Óµµ°¡ ´À¸³´Ï´Ù -_-
±×·¯~³ª!!
UDP ´Â °ÅÀÇ ¸·°¡ÆÄÀÔ´Ï´Ù... °ü°è¹«°ü ¼ºñ½º ¶ó°í ÇÕ´Ï´Ù
¼ºñ½º À̸§¸¸ Çصµ ¾ó¸¶³ª Ã¥ÀÓ°¨ÀÌ ¾ø½À´Ï±î ¤Ñ.¤Ñ;; °ü°è¹«°ü ¼ºñ½º...
¾îÂîµÆµç..
ÆÄÀÏ Àü¼ÛÀÌ ¼º°øÀÌ µÇµç ¸»µç~ »ó´ë¹æÀÌ ¹Þµç~ ¸»µç~
¿ì¸° ÀÏ´Ü º¸³»°í º¸ÀÚ~
´Ü¼øÇÏ°í µ¥ÀÌÅÍÀÇ Àü¼Û Á¦¾î°¡ Á¤È®ÇÏÁö ¸øÇÏÁö¸¸
¼Óµµ°¡ Á×ÀÔ´Ï´Ù ~_~
ÀÌ»ó tcp udp ¼³¸í ³¡; (°øºÎÇÑ°÷ naver Áö½Ä°Ë»ö;)
protocol
tcp ȤÀº udpÀÇ ÇÁ·ÎÅäÄÝÀ» ¸í½ÃÇϸç /etc/protocols¿¡ µî·ÏµÇ¾î ÀÖ¾î¾ß ÇÑ´Ù.
** À§¿¡¼´Â ¸í½ÃµÇÁö ¾Ê¾ÒÁÒ socket type ¿¡¼ ÀÌ¹Ì stream À̶ó°í ÇØÁ༠±×·¯³ª..?;
wait flag
inetd°¡ ¼ºñ½º ¿äûÀ» ¹ÞÀº °æ¿ì, ÀÌÈÄ¿¡ Áï½Ã ¶Ç´Ù¸¥ ¿äûÀ» ó¸®ÇÒ °ÍÀÎÁö ¾Æ´ÑÁöÀÇ ¿©ºÎ¿¡ µû¶ó nowait ¶Ç´Â wait·Î ±¸ºÐÇÑ´Ù. streamÀÏ °æ¿ì¿¡´Â ¹Ýµå½Ã nowaitÀ̾î¾ß ÇÑ´Ù.
** À§´Â stream À̱⠶§¹®¿¡ nowait ¸¦ Çß±º¿ä (wait = no)
login name
¾î¶² »ç¿ëÀÚÀÇ ±ÇÇÑÀ¸·Î ÇÁ·Î±×·¥À» ¼öÇà½ÃÄÑÁÙ °ÍÀÎÁö ¸í½ÃÇÑ´Ù.
** À§¿¡¼ level5 ÀÇ ±ÇÇÑÀ¸·Î ÇÁ·Î±×·¥À» ¼öÇà½ÃÄÑÁÙ°ÍÀÎÁö ¸í½ÃÇسù±º¿ä (user = level5)
server
¾î¶² ÀÀ¿ë ÇÁ·Î±×·¥À» ¼öÇà½Ãų °ÍÀÎÁö ¸í½ÃÇÑ´Ù. Àý´ë °æ·Î¸¦ ¸ðµÎ ¸í½ÃÇÏ¿©¾ß ÇÑ´Ù. (¿¹: /usr/etc/in.fingerd)
** /home/level4/tmp/backdoor ÆÄÀÏÀ» ¸í½ÃÇÑ´Ù°í ½áÁ®ÀÖ±º¿ä
¿ø·¡ finger ´Â /usr/bin/finger ¸¦ ¸í½ÃÇØ¾ß µÇ´Â°Ô ¾Æ´Ñ°¡ »ý°¢ Çغ¾´Ï´Ù.
¾î·µç /home/level4/tmp/backdoor ÆÄÀÏÀ» ·¹º§5ÀÇ ±ÇÇÑÀ¸·Î ¸í½Ã(½ÇÇà)ÇÑ´Ù°í ÇßÀ¸´Ï
¹¹ ÀÏÁ¾ÀÇ SetUid ¶ó°í ºÁµµ µÉ°Í °°½À´Ï´Ù.
argument
ÀÀ¿ë ÇÁ·Î±×·¥ÀÇ ÀÎÀÚ¸¦ ÁöÁ¤Çϸç 5°³±îÁö °¡´ÉÇÏ´Ù. ÀϹÝÀûÀ¸·Î argv[0]´Â ÇÁ·Î±×·¥ ÀÚ½ÅÀÇ À̸§ÀÌ µÇ¹Ç·Î ù¹ø° ÀÎÀÚ´Â ÀÀ¿ë ÇÁ·Î±×·¥ ÀÚ½ÅÀÇ À̸§ÀÌ µÈ´Ù.
** ¸í½ÃµÇÁö ¾Ê¾Ò±º¿ä
ÀÌ¿Ü¿¡ log_on_failure += USERID ¿Í flags = REUSE ´Â Àúµµ Àß ¸ð¸£°Ú½À´Ï´Ù ¤±_¤±a
ÀÌ»ó backdoor ÆÄÀÏ ºÐ¼® ³¡ (°øºÎÇÑ°÷ : yahoo ¿¡¼ °Ë»öÇÔ;)
ÀÌÁ¦ ·¹º§4ÀÇ ½Ã³ª¸®¿À¸¦ ¸Ó¸®¿¡ ±×·Á º¸¼¼¿ä
1.·¹º§5ÀÇ ±ÇÇÑÀ¸·Î finger Æ÷Æ®°¡ µ¹¾Æ°©´Ï´Ù.
2.finger µ¥¸óÀÌ ½ÇÇà½ÃÅ°´Â ÆÄÀÏ°æ·Î´Â /home/level4/tmp/backdoor °í·Î
·¹º§5 µð·ºÅ丮µµ ¾Æ´Ï°í ·¹º§4 µð·ºÀÔ´Ï´Ù
¿ª½Ã³ª Àú´Â °Á ÇÒ Ã¼ÁúÀÌ ¸øµË´Ï´Ù;;
ª°Ô ³¡³¾ ³»¿ëÀ» 3~4¹è´Â ºÒ·È½À´Ï´Ù;
Á˼ÛÇÕ´Ï´Ù ¤Ð_¤Ð |
Hit : 3924 Date : 2003/09/15 11:58
|