尽管普通的系统服务被阻塞了，但Mudge知道Solaris操作系 统上--个没有文档记载的特点，它可以把rpcbimKportmapper）绑定 到端口 32770以上的一个端口上。这个端口映射器将动态的端口号 分配给某些程序。通过端口映射器，他可以找到分配给mount驻留 服务的动态端口。取决于请求的格式，Mudge说：”mount驻留程 序也会生成网络文件系统请求，因为它用同样的代码。我从 portmapper那里获得了 mount驻留程序，然后我在mount驻留程 序上发送了我的NFS请求。“使用nfsshdl程序，他可以远程加载 目标系统的文件系统。Mudge说：”我们很快得到拨号列表号码。 我们只是下载了他们所有的导出文件系统。我们完全控制了系统。“ Mudge还发现，对于无所不在的PHF孔，目标服务器是非常 脆弱的（见第2章”当恐怖分子来袭的时候“）。他可以欺骗PHF CGI 脚本去执行模棱两可的命令，方法是将要执行的shell命令后的换 行符釆用Unicode字符串。察看了使用PHF的系统，他意识到 Apache服务处理器是在”nobody“的账户下运行的。Mudge很高 兴地看到系统管理员”锁了箱子“--也就是，使电脑处于安全 状态--这正是当服务器连接到非信任的网络（如Internet）时，我 们应该做好的工作。他搜索所有的文件和目录，希望找到一个可用 文字表示的文件或目录。在进一步检查之后，他发现Apache的配 置文件（httpdxonf）也在”nobody“的账户下，这种错误意味着他可 以重写httpd.conf文件的内容。
    
    他的策略是改变Apache的配置文件，这样在Apache下一次 重启时，服务器将在根账户特权下运行。但他需要一种编辑配置的 方式使他能改变用户在什么系统下运行在一起工作的一个人使用的句柄是Hobbit.两人想出了一种使 用netcat程序的方法。因为系统管理员明显将”coiif“目录下文件 的所有权更改到”nobody“下，Mudge能够使用”sed“命令来编 辑httpd.conf,因此当Apache下一次重启时，它将作为根用户方式第6亭：渗透测试中的智慧与愚昧运用（当前的Apache版本已经修复了这种脆弱性）。
    
    因为要等到Apache下一次启动时，他的更改才能发生作用， 他不得不坐下来等待。一旦服务器被重启，Mudge就能通过PHF 相同的脆弱性执行根目录的命令；而这些命令是早先是在”nobody“ 账户T被执行的。现在Apache作为根0录运行。拥有执行根目录 命令的这种能力，获得对系统的完全控制是很容易的。
    
    同时，lOpht攻击者在其他方面也取得了进展。我们大多数从 事攻击和安全工作的人将它称作垃圾搜寻，而Mudge本人对此则 有一个更为正式的称呼：物理分析（physical analysis）。
    
    我们派一些人去做物理分析，我想，某个员工（客户公司的）近 段时间可能被解雇了，他们懒得清除了他的文件，而是将他的整个 办公桌当成垃圾扔了。被去弃在垃圾堆里的办公桌被[我们的人员] 发现了，抽屉里塞满了旧的飞机票、手册和各种内部文件。
    
    我想告诉客户们，好的安全措施不仅仅是关乎电脑系统的 安全。
    
    做这个不需要翻遍所有的垃圾，因为他们通常使用垃圾捣碎 机，但捣碎机放不下这张办公桌，我仍然在别处可以找到像这种情况的办公桌。
    
    实际小组进入公司的基地时，使用的是最简单而又是这种情况 下最受用的办法，也就是屡试不爽的”尾随“.即紧跟在公司员工 身后穿过安全大门，特别是从公司自助餐馆或其他员工活动场所出 来，然后进入到安全冈。大多数职员，特别是级别低的支援，在面 对随他们进门的陌生人时有些犹豫不决，担心这个陌生人可能是公 司的高级别人物。
    
    小组的另一个成员正在对公司的电话和语音信箱系统进 行攻击。标准的起点是查出客户所使用的系统制造商和类型，然后 将计算机设置成war dialing状态一一-因为某位员工可能没有设置 自己的口令，或者口令很简单，这样通过不断拨打公司的电话分机， 兴许就能找到一些口令。一旦他们找到了这些脆弱的电话线路，攻入侵的艺术击者就能听到里面存储任何的语音信息（电话黑客--”入侵电话 系统者“--使用同样手段以公司的幵支拨打各种外线电话）。
    
    当war dialing时，lOpht电话团队通过分析拨号解调器的回应， 确认公司的电话分机。这些拨号连接，有时候未受保护，仅依赖于 ”模糊的安全“,并且总是处于防火墙的”信任区“中。
    
    灯火管制时间一天天过去了，安全小组一直在记录一些有用并且有趣的 信息，但Mudge仍没有想出一个办法可以促使Apache系统重启， 并能让他登录网络。就在这个时候不幸发生了，对于安全小组来说， 却有一线希望：
    
    我正在听新闻，听到公司所在的地方要进行灯火管制。 这真是一个悲剧，在城区的另一边，一名工人在检修锅炉时， 因为突发爆破而身亡。但整个城镇因此而断电。
    
    我想，如杲管制时间太长的话，服务器的能量储备很可能会被 耗尽。
    
    那就意味着服务器将关闭。当城市的电源恢复时，系统将会重启我坐在那儿不断地查询网络服务器，过了一段时间，系统停止 了运行。他们必须重启它。时间控制对我们来说真是太完美了。当 系统启动时，瞧，你瞧，Apache正以根用户方式运行，正如我们 所计划的那样。
    
    那一刻，lOpht小组完全町以对那些机器进行攻击了，这后来 成了我幵展整个攻击过程的跳板。
    
    安全小组幵发了一段代码，能帮助他们不被锁在系统外面。公 司的防火墙通常不会被设置成”阻塞外出的流量“.同时，Mudge 的小型程序，它安装在”牛顿“的服务器上，在他们的控制下每隔 儿分钟就与外部计算机相连。这种连接提供了命令行界面，就像第6亭：渗透测试中的智慧与愚昧、Linux以及老式的Dos操作系统用户所熟悉的命令行解释器。 也就是说，”牛顿“的设备经常为Mvidge的团队提供绕幵公司防 火墙而输入命令的机会。
    
    为了避免被检测到，Mudge在他们的脚本中混合了公司的背景 语言。任何人查看文件夹时，都会认为那是正常工作环境的一部分。
    
    开始搜索Oracle数据库，希望找到员工工资表数据。 ”如果你可以说出首席信息官的工资和奖金，那通常就是你己经拿 到所有信息的暗示。“ Mudge在公司所有进出的邮件上设置了一 个嗅探器，只要”牛顿“的员工进入防火墙进行维护工作，lOpht 就会发觉。看到有人使用明文文本登录防火墙，他们很震惊。
    
    在短时间内，lOpht完全渗透了整个网络，而且有数据证明。 Mudge说，”你们知道，那就是为什么我认为许多公司不愿对其 内部网络进行透视测试的原因了。他们知道结果太糟糕了。“语音信箱泄漏电话攻击小组发现，主管商讨购买lOpht的一些执行官在他们 的语音信箱上设置了默认口令。Mudge和他的队友得到了令人吃 惊的消息--其中一些很滑稽。
    
    他们所要求的条件之一，也是作为把lOpht卖给公司的条件， 是一个移动操作装置--他们可以与传动装置装在一起的一个装 载器，并可以在其他渗透测试中，来捕获未加密的无线通信。对其 中一个执行官而言，为lOpht小组购买一个装载器的意见好像很不 合理，他开始将它叫作”温尼贝戈人“（居于东威斯康星等地的北 美洲印第安人）。他的语音信箱里全是其他公司领导对”温尼贝戈 人“的苛刻评价，以及对lOpht的总体评价。Mudge感觉既好笑又 震惊。
    
    最终结果当测试阶段结束，Mudge和小组成员必须写出详细的报告，并 准备好在”牛顿“所有的执行宫都参与的会议上递交。”牛顿“公入侵的艺术司的人不知道将会是什么样的结果；lOpht组员知道它将是能”煽 动气氛“的会议。
    
    因此我们向他们陈述了报告，同时揭露了他们的不足。他们很 难堪？那个不错的系统管理员，真正不赖的7个人，但我们在适当 的地方安有嗅探器，并且我们监视到他试着在一个路由器上登录， 他输入了一个口令，但口令无效，然后再试，还是无效，接着再试， 再次无效。

　　请记住本书首发域名：www.llskw.org。来奇网电子书手机版阅读网址：m.llskw.org