"/etc/passwd" 文件
这是系统的密码文件，一般是shadow过的，并且不允许看到加密的口令，不过对攻击者来说，可以知道那些是有效的用户，以及系统的绝对路径，站点名称等信息，由于通常被shadow过的，所以对攻击者，通常会查看/etc/shadow 文件

"/etc/master.passwd"
这个文件是BSD系统的密码文件，包含有加密过的密码，这个文件对root帐号仅仅是只读的，而一些不熟练的攻击者会打开他试图读取里面的内容.，如果web站点是以root权限运行的，那么对攻击者来说，就能够读取里面的内容，对系统管理员很多问题也将接踵而来

"/etc/shadow"
包含有加密过的系统口令，对root帐号同样只读，和/et/master.passwd差不多

"/etc/motd"
当用户登陆进unix系统中出现的信息，就在这个"Message of the Day" 文件中 ，它提供重要的系统信息和管理员对用户的一些设置，那些是希望用户看到的，那些不是，还含有系统的版本信息，攻击者通常查看此文件，了解是什么系统在运行，对攻击者来说，下一步是搜索这种类型的系统的exploit，进一步获得系统特权

"/etc/hosts"
该文件提供ip地址和网络信息，攻击者可以了解更多的系统中的网络设置

"/usr/local/apache/conf/httpd.conf"
这是个Apache web服务器的配置文件，攻击者可以了解诸如cgi,ssi是否可访问等信息

"/etc/inetd.conf"
这是inetd服务的配置文件，攻击者可以了解远程机器上的那些服务启动，是否用了wrapper进行访问控制，如果发现wrapper 运行着，攻击者下一步会检查"/etc/hosts.allow" 和 "/etc/hosts.deny",文件，并可能会更改里面的一些设置，获得特权

".htpasswd, .htaccess, and .htgroup"
这些文件通常在web站点用于对用户身份进行认证，攻击者会查看这些文件，并获得用户名和密码，密码文件.htpasswd被加密过，通过一些简单的破解程序进行解密，使攻击者访问站点中被保护的区域（通常用户用和用户名相同的密码，以至攻击者可以以其他帐号进行访问）

"access_log and error_log"
这些是apache服务器的日志记录文件，攻击者常会查看这些文件，看那些请求被记录，那些和其他请求不同的地方
通常，攻击者会修改这些日志文件，比如他自身的地址信息，攻击者通过80端口突破你的系统，而你的系统又没有进行备份的工作，也没有其他记录程序记录系统状况，这将使入侵检测工作变的很困难

"[drive-letter]:winntrepairsam._ or [drive-letter]:winntrepairsam"
Windows NT系统中的密码文件，如果远程命令不可以执行，通常攻击者会请求这些文件，然后通过"l0pht crack"之类的密码破解工具进行破解，如果攻击者试图攻击administrator的密码文件，如果成功那么远程机器将被攻击者得到控制权

[溢出 分析]

我不会在这篇文章中说过多的关于溢出的话题，我将举列说明那些现象和痕迹值得注意和特别关注的地方，缓冲攻击常被攻击者通过编码转换和其他途径来达到不易发现

下面是个简单的例子：

Example: http://host/cgi-bin/helloworld?type=AAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAAAAAA AA

这个列子展示了攻击者对某个应用程序发送很多的A字符，来测试程序的缓冲溢出，缓冲溢出可以获得远程主机的命令执行权限，如果是具有setuid和属主为root的程序，通过溢出，可以得到整个系统的访问权限，如果不是setuid之类的程序，那么溢出仅仅是得到运行该web站点的用户权限