风蓝

引用:

下面是引用julang3于2006-11-03 16:49发表的现在好像出现了一些变化:
用我最初的方法确实不能修改网页了,而且文件权限方面也加强了很多;具体的权限如下;
  drwxr-xr-x   3 root root    72 Oct 26 09:59 www
  drwxr-x---  3 root www-data 192 Oct 31 17:54 attack
  -rwsr-----  1 root www-data 51212 Oct 26 10:00 cp
  drwxr-x---  2 root www-data   272 Oct 26 10:00 images
.......

我心里也有这样的想法。不知道是不是 管理员 们操作上失误了。

walkerxk

引用:

下面是引用julang3于2006-11-03 16:49发表的现在好像出现了一些变化:
用我最初的方法确实不能修改网页了,而且文件权限方面也加强了很多;具体的权限如下;
  drwxr-xr-x   3 root root    72 Oct 26 09:59 www
  drwxr-x---  3 root www-data 192 Oct 31 17:54 attack
  -rwsr-----  1 root www-data 51212 Oct 26 10:00 cp
  drwxr-x---  2 root www-data   272 Oct 26 10:00 images
.......

原来出题的情况就是这样，从四楼的发言可以看出原来的index是属于root的
我的本意就是要考怎么执行   -rwsr-----  1 root www-data 51212 Oct 26 10:00 cp这个程序，但是四楼的dogking好像绕过了这步，我很想知道他是怎么绕过的，然后后来就是因为我没有考虑到主页被改后很可能所有者不能改回ROOT，所以造成后面的index就是属于APACHE用户了。其实dogking当时在入侵成功以后曾经说过“管理员把index.html的用户所有权和权限改回来吧。不然难度就降低了，后面的朋友就不好玩了。”
http://bbs.lupaworld.com/read.ph ... &toread=1#26125
只是当时没有想到。

julang3

引用:

下面是引用walkerxk于2006-11-03 18:25发表的Re:现在好像出现了一些变化:

原来出题的情况就是这样，从四楼的发言可以看出原来的index是属于root的
我的本意就是要考怎么执行   -rwsr-----  1 root www-data 51212 Oct 26 10:00 cp这个程序，但是四楼的dogking好像绕过了这步，我很想知道他是怎么绕过的，然后后来就是因为我没有考虑到主页被改后很可能所有者不能改回ROOT，所以造成后面的index就是属于APACHE用户了。其实dogking当时在入侵成功以后曾经说过“管理员把index.html的用户所有权和权限改回来吧。不然难度就降低了，后面的朋友就不好玩了。”
http://bbs.lupaworld.com/read.ph ... &toread=1#26125
只是当时没有想到。

    看来我能过第二关是因为dogking把index.htm所在目录的权限改成apache用户的了,捡了个便宜才过关的;能用办法执行cp这个suid程序?我倒还不知道现在有什么办法,至于dogking是怎么修改成功的,只能请dogking自己详细介绍一下方法了.

风蓝

谁知道那个web目录下的cp怎么执行的？

血色眼泪

引用:

下面是引用风蓝于2006-11-03 17:39发表的:


理论和实际上看来还是有差别,如果这个理论可以实现的话，那么PHP的程序现在基本都不安全的，任何一个PHP的shell都是system权限了。

根据我自己的经验

我固执的认为脚本的权限是解释容器所赋予的

解释容器的权限继承自解释容器的用户和用户组

如果web服务器不接管和维护解释容器进程

事实上并不是不能拿到system权限的php和jsp的webshell

我需要确切的理由来撂倒我以前的思维 [s:6]

dogking

我就是通过php的木马拿到的webshell。当时我试过通过webshell上传本机一个index覆盖root的那个，但是不成功。当时我没有多想，以为是我的网络不稳定造成的。然后我尝试用webshell删除root的index，成功了。但是造成那个主页以目录形式访问了（index丢失那种情况），我接着把我改好的index改名为index.html替换成功了就。

我也认为通过php获得的权限是大于www-data的。比较认同是php解释器权限的继承。具体是不是达到root级那就不知道了。我想咱们可以通过一个实验试试，先在主页用www-data作个php木马，然后试着对root文件进行操作，看看能不能成功。

ps：我也是业余玩linux的，不是学计机的。所以对php在linux下的权限问题还是很不清楚，希望各位朋友讨论一下。如果php得到root级权限，想想是怪可怕的~~~

julang3

引用:

下面是引用dogking于2006-11-03 22:46发表的:
我就是通过php的木马拿到的webshell。当时我试过通过webshell上传本机一个index覆盖root的那个，但是不成功。当时我没有多想，以为是我的网络不稳定造成的。然后我尝试用webshell删除root的index，成功了。但是造成那个主页以目录形式访问了（index丢失那种情况），我接着把我改好的index改名为index.html替换成功了就。

我也认为通过php获得的权限是大于www-data的。比较认同是php解释器权限的继承。具体是不是达到root级那就不知道了。我想咱们可以通过一个实验试试，先在主页用www-data作个php木马，然后试着对root文件进行操作，看看能不能成功。

ps：我也是业余玩linux的，不是学计机的。所以对php在linux下的权限问题还是很不清楚，希望各位朋友讨论一下。如果php得到root级权限，想想是怪可怕的~~~

      按照你的方法,我在我的机器(RED HAT 9)上作了一下测试;权限设置和LUPA的第二关过关服务器设置一样;用的是PHPSYP_2006,发现用PHP木马删除和新建文件都不能成功;除非对目录有写的权限;
      同样的在那个PHP做的TRACEROUTE程序里面,我们执行命令实质上是由PHP来完成的,从原理上说和PHP木马应该是一样的;通过这个TRACEROUTE程序,在LUPA的服务器上也不能成功执行删除和覆盖命令;而你当时确实是操作成功了;这就比较奇怪了,用PHP木马的实验还是只能由版主来完成了.我们现在都没有在过关目录下写或是修改文件的权限了;

dogking

对啊，我也是对我当时删除成功比较奇怪。
看来只有两种解释了：
1。我在删除的时候，服务器出现了问题。导致删除成功。（可能性大点）
2。还有什么东西咱们没讨论清楚（误打误撞就删除了）（可能性不大）
昨天晚上我试了一下，那个目录没有写权限了。

版主大人有什么看法？

alone

服务器管理人员应该测试一下..

walkerxk

引用:

下面是引用风蓝于2006-11-03 19:09发表的:
谁知道那个web目录下的cp怎么执行的？

我可以提醒一下大家，加了X的程序相当于WIN下面的EXE文件，WIN下面的病毒、木马并不一定是EXE，还有可能是VBS，EML等（这两种应该很常见的吧），然后通过一个电脑上的程序执行这个东西，比如a.exe a.vbs，而不是直接执行a.vbs（WIN的双击就是调用相关程序执行相关文件，并不是直接执行程序）。