特殊的php上传漏洞获取linux root 栽下rootkit

特殊的php上传漏洞再到获取linux root最后栽下rootkit

本文已发表在《黑客手册》2009年第9期杂志上

Auther: sunwear [E.S.T]

很久不写东西了，写个linux系统web到root的入侵笔记吧，简单来说过程没什么技术含量，看了可以为大提供一个不常用的上传思路，和新的linux本地权限提升漏洞的使用方法，以及介绍一款rootkit 。这事起因是有个朋友要K一个棒子（韩国）站，死活搞不定，就来骚扰我了，我现在是不怎么喜欢搞站的，偶尔搞搞也是搞点新鲜的玩玩，怕荒废了，最近几年主要还是研究逆向和漏洞方面的东西，不过这鸟人唐僧似的骚扰法整的我实在“心神不宁”，又不好意思拒绝，勉强帮忙看一下吧。过程如下：

首先用nmap检测一下目标网站的系统服务和一些端口banner的信息。

Nmap -v -sT -sV -O -P0 -oX test.xml ***.kr

21/tcp open ftp ProFTPD

22/tcp open ssh OpenSSH 4.3 (protocol 2.0)

25/tcp open smtp Sendmail 8.13.8/8.13.8

53/tcp open domain ISC BIND 9.3.4-P1

80/tcp open http Apache httpd

135/tcp filtered msrpc

136/tcp filtered profile

137/tcp filtered netbios-ns

138/tcp filtered netbios-dgm

139/tcp filtered netbios-ssn

445/tcp filtered microsoft-ds

593/tcp filtered http-rpc-epmap

623/tcp filtered unknown

664/tcp filtered unknown

873/tcp open rsync (protocol version 29)

3306/tcp open mysql MySQL 4.0.27

4444/tcp filtered krb524

5000/tcp open tcpwrapped

8080/tcp open http Apache Tomcat/Coyote JSP engine 1.1

Service Info: Host: ****.com; OS: Unix

还有一部分信息我省略了，免得占用太多篇幅，从上面的探测结果来分析，这系统显然不会是windows了，没有太大的直接利用价值，应该不会有弱口令或溢出一类的，虽然棒子比较懒，但这么弱智的还是少，一般会发生在windows的服务器上，下面就该看网站上的信息了。

网站是由一套php程序组成的，我对程序鉴别不是很在行，所以也不知道是否开源，是否有漏洞，那么我就先从google搜索关键字allinurl: .php site:***.kr 来搜寻php的页面，把google的链接放到类似于管中窥豹的这类工具中扫描，结果不出所料，一个注入点也扫不到。用web vulnerability scanner 来扫描了解下网站的整体架构。一般看了扫描结果基本对网站的整体框架就会有一定的了解，然后从中搜寻入手点。

在主页上我看到有一个登陆界面，我喜欢先找上传方面的问题，有可以同网站交互的地方，就可能存在着隐患，所以我现在注册一个账户并且登陆进去。之后再主页上找到了一个类似bbs' target='_blank'>论坛或交流版的地方，可以发帖子，发帖功能中可以上传附件，这里就是通向webshell的桥梁，但这个桥并不是那么好过。如图1: $\"\"$

选择要上传的图片后，自动就传上去了，这个省事，省着我去点上传了，图片上传好后点确定，从编辑窗口中修改编辑格式为text就可以看到上传后的地址 <IMG src=http://***.kr/data/geditor/0907/1008362430_3a017577_logo.gif> 现在我试着伪造一个gif文件头的php木马来上传。效果如图2

$\"\"$

上传失败。即使后缀为gif也失败，这个上传功能看来要验证完整的图片才可以。必须要换个方法，现在使用jpginject程序来把php一句话木马注入到jpg文件中，注意这个工具只能把代码注入jpg格式的图片，不支持png以及gif（原理上来说应该可以，只不过工具打不开非jpg格式图片）。使用格式为 edjpgcom.exe 要注入的jpg图片，然后会弹出如图3的窗口：

$\"\"$