julang3

我先开个头,大家都写一下自己的方法吧!!

        第二关的traceroute程序存在SHELL注入漏洞;它将用户输入的字符串直接传给system函数;代码如下

<?php
$ip=$_POST[ip];
if(empty($ip))
$ip="127.0.0.1";
echo system("traceroute $ip");
?>
?>

导致可以以APACHE用户的身份执行命令;通过SSH连上去可以发现过关题目的存放目录;发现要被修改的文件的所有者是ROOT,一般用户没有权限写;很多朋友可以就卡在这里了.实际上这个目录的所有者是APACEH用户,APACHE用户虽然没有直接写的权限,但可以覆盖这个文件;这样就能将自己的ID写到那个网页上去;
    说一下我的做法在tracertoute的输入框内输入:"127.0.0.1;chmod "修改网站目录的权限;然后用SSH登录系统,在自己的家目录下复制一份首页文件,修改之;然后通过输入"127.0.0.1;cp -f" 命令将原来的主页文件给覆盖掉;完成修改;就这么简单哈;

walkerxk

你登录的时候系统好想出了点问题，这个目录的所有者也是ROOT，WWW用户没有权限的。

julang3

我那天登录上去的时候,刚看了一下,临时有事就出去了,我回来的时候DOCKING已经过了第二关了,没发现系统有问题,我当时就是按上面说的操作的啊.

血色眼泪

引用:

下面是引用walkerxk于2006-11-03 08:08发表的:
你登录的时候系统好想出了点问题，这个目录的所有者也是ROOT，WWW用户没有权限的。

如果没有人事先做了小动作

会不会是wakkerxk出了问题^_0

dogking

我做的时候也是利用的traceroute的那个漏洞。
1。通过traceroute用:"127.0.0.1;ls -l "了解目录及文件的结构，权限。
2。用traceroute加copy和chmod把index复制到/tmp，权限改为777
3。ssh登陆用lab用户修改index，traceroute把修改的index复制回去，并且改名。
4。尝试用traceroute覆盖原来的index，没有成功，权限不够。
5。将/tmp下的index加如木马，扩展命改为php。复制回web目录。
6。拿到webshell，上传修改的index失败（不知道是不是我网速问题），webshell不小心把那个index给删了（这里挺奇怪，修改没权限，到给删除成功了^_^）用修改的index改为index成功.
擦尾巴：
1。删除web目录下的修改的的index和那个php
2。通过traceroute删除/tmp下复制的那个文件。
3。删除ssh的lab用户命令历史记录。
但是还是把痕迹留在log里了，还有index变为www-data所有了，没有root改不回去。

大概是这样了，中间还有一些其他方法尝试失败了。

dogking

顺便问一下版主，俺的贡献值怎么是－5？？？？

walkerxk

引用:

下面是引用dogking于2006-11-03 09:30发表的:
我做的时候也是利用的traceroute的那个漏洞。
1。通过traceroute用:"127.0.0.1;ls -l "了解目录及文件的结构，权限。
2。用traceroute加copy和chmod把index复制到/tmp，权限改为777
3。ssh登陆用lab用户修改index，traceroute把修改的index复制回去，并且改名。
4。尝试用traceroute覆盖原来的index，没有成功，权限不够。
.......

原来是这样，看样子我考虑的不够仔细，应该同时给出一个可以把owner改为root的suid程序。

walkerxk

引用:

下面是引用dogking于2006-11-03 09:47发表的:
顺便问一下版主，俺的贡献值怎么是－5？？？？

http://bbs.lupaworld.com/read.ph ... &toread=1#27141

dogking

引用:

下面是引用walkerxk于2006-11-03 09:55 AM发表的:

http://bbs.lupaworld.com/read.ph ... &toread=1#27141

呵呵，这个原因啊～～
没事，尊重版主处理。平时我都这样称呼日本，说惯了，以后发帖我会注意的。用XX代替～～ [s:2]

风蓝

看来就我运气最差了，删除 写文件 覆盖文件 一个都不行。
chmod 777 也是没有权限的。