大家都知道，中國(guó)有個(gè)最大的操作系統(tǒng)軟件生產(chǎn)廠家，那就是 chinalinux。很多人都想試圖進(jìn)入其主站點(diǎn) http://www.chinalinux.com， 因?yàn)槟菍⑹菍?duì)自己的一個(gè)挑戰(zhàn)。終於有一天成功的進(jìn)入了其主站，在此寫出我的過程，以及對(duì)常見web服務(wù)的安全模型的理解，對(duì)此的一些總結(jié) 等，希望大家能夠從中得到自己的理解。 首先，那當(dāng)然得介紹介紹這chinalinux站點(diǎn)的一些情況吧。http://www.chinalinux.com是使用自己開發(fā)的一個(gè)由linux升級(jí)得來的中文操作系 統(tǒng)，而web服務(wù)也是采用自己的產(chǎn)品ccs。這ccs安裝、使用非常方便，也很容易配置管理，所以很多管理員都喜歡使用這個(gè)產(chǎn)品。 　　為了要能進(jìn)入這樣的站點(diǎn)，那當(dāng)然就得熟悉ccs這個(gè)web服務(wù)系統(tǒng)了。根據(jù)這個(gè)系統(tǒng)的一些基本服務(wù)特性，以及一些權(quán)限配置，簡(jiǎn)單總結(jié)後 有三點(diǎn)。 一、ccs系統(tǒng)提供外界可以訪問系統(tǒng)一部分目錄文件的服務(wù)
二、ccs提供虛擬目錄配置，每個(gè)虛擬目錄可以對(duì)應(yīng)一定的權(quán)限
三、ccs系統(tǒng)文件類型配置，可以配置不同的文件類型，提供直接在服務(wù)端運(yùn)行和返回客戶端運(yùn)行兩種方式 　　通過上面的了解，我總結(jié)出了ccs的一個(gè)安全模型，那就是ccs是一個(gè)外掛式的有權(quán)限限制的web系統(tǒng)。怎么來理解這“外掛”呢？因?yàn)榇蠹? 熟悉操作系統(tǒng)的都知道，操作系統(tǒng)本身對(duì)一些對(duì)象有權(quán)限控制，而這ccs系統(tǒng)的權(quán)限控制不是依靠操作系統(tǒng)本身的這些功能，而是依靠自己的一 些檢測(cè)。最重要的一點(diǎn)，操作系統(tǒng)對(duì)對(duì)象權(quán)限的分配都附在對(duì)象本身身上，而ccs的是把所有對(duì)象的權(quán)限分配記在ccs系統(tǒng)上面?！　? 　　這點(diǎn)有什么區(qū)別呢，操作系統(tǒng)處理的時(shí)候每個(gè)真實(shí)對(duì)象有一個(gè)檔案，而每個(gè)對(duì)象可能有些別名，這樣訪問這些別名的時(shí)候我們不用關(guān)心它 到底是別名還是真名，只要最終對(duì)應(yīng)到那個(gè)唯一的檔案就能正確的得到權(quán)限分配。打個(gè)形象點(diǎn)的比喻，月底發(fā)工資，操作系統(tǒng)把每個(gè)人建立了 一個(gè)唯一的檔案，這些檔案里面記錄有這個(gè)人的工資，而這個(gè)人可能叫小張也叫張三，那么發(fā)工資的時(shí)候不用管他叫小張還是張三，最終是找 到了他的工資表也就正確的發(fā)放了他的工資。而對(duì)於ccs系統(tǒng)來說，因?yàn)樗鼪]有這樣一張工資表，它就是根據(jù)人名來確定工資，所以它就必須考 慮每個(gè)人所有的名字才能正確的發(fā)放工資。所以根據(jù)這個(gè)基本的特點(diǎn)，總結(jié)出了安全編寫ccs系統(tǒng)應(yīng)該注意的四點(diǎn)： 1、 ccs系統(tǒng)提供的服務(wù)應(yīng)該做chroot限制
2、 ccs系統(tǒng)應(yīng)該能識(shí)別一個(gè)真實(shí)目錄對(duì)應(yīng)的所有目錄名
3、 ccs系統(tǒng)應(yīng)該能識(shí)別一個(gè)真實(shí)文件對(duì)應(yīng)的所有文件名
4、 ccs系統(tǒng)的調(diào)用接口應(yīng)該完全按照接口意思實(shí)現(xiàn) 　　這幾點(diǎn)，每點(diǎn)都可以寫出一大篇文章了，因?yàn)檫@篇文章不是寫這些，所以也就只寫這點(diǎn)提綱式的東西吧。不光是CCS系統(tǒng)需要注意上面4點(diǎn) ，其它的WEB服務(wù)器差不多同樣需要考慮這樣4點(diǎn)。 　　根據(jù)這些認(rèn)識(shí)以及對(duì)一些原來公布漏洞的理解，很快就發(fā)現(xiàn)了大量的漏洞，在此總結(jié)出來原因：編寫CCS系統(tǒng)的人員沒有建立一個(gè)安全模型 ，對(duì)安全沒有深刻的認(rèn)識(shí)，所以在系統(tǒng)實(shí)現(xiàn)上就沒有系統(tǒng)的、全面的對(duì)權(quán)限做檢測(cè)，只是編寫人員想到一條做一條，因?yàn)闆]有明確提出這些安 全上的要求，這些檢測(cè)也往往是很容易逃避的，所以造成這么多的漏洞。 　　說了這么多，還沒有正式提到漏洞，那就馬上來了。根據(jù)上面的第1條，顯然CCS系統(tǒng)應(yīng)該檢測(cè)用戶請(qǐng)求中的“/../”，這點(diǎn)不知道現(xiàn)在還 有多少WEB有這樣低級(jí)的嚴(yán)重的不可饒恕的錯(cuò)誤。CCS系統(tǒng)低版本就有這樣的漏洞，但現(xiàn)在顯然沒有了，它會(huì)先檢測(cè)這樣的請(qǐng)求，做出正確的處 理。但是因?yàn)闆]有這樣明確的安全模型，所以錯(cuò)誤又出來了。為了對(duì)多語言以及一些傳輸設(shè)備的支持，CCS系統(tǒng)支持一種unicode的傳輸編碼格 式，而經(jīng)過這樣的解碼後，請(qǐng)求的字符已經(jīng)發(fā)生變化，顯然根據(jù)上面安全模型的提出的“外掛式”特徵，這權(quán)限檢測(cè)不能依靠解碼前的檢測(cè)， 需要再次檢測(cè)，而CCS根本就沒意思到這些，所以我們可以輕易突破所有這些限制了。 　　於是試了其主站http://www.chinalinux.com果然有此漏洞，不過沒法利用干什么事，因?yàn)槠渲髡咎摂M目錄對(duì)應(yīng)的一個(gè)可執(zhí)行/csapi目錄是 作了chroot限制，也就是通過這個(gè)虛擬目錄，往上級(jí)目錄返回最終也到不了系統(tǒng)的根“/”，當(dāng)然也就不能執(zhí)行系統(tǒng)/bin/目錄里面的東西了， 也不能得到/etc/目錄里面的密碼文件，而那些缺省安裝沒有做chroot限制的可執(zhí)行虛擬目錄卻被刪除。好不容易找到一個(gè)漏洞卻不能利用。 　　不過後來偶然一天訪問到其一個(gè)分站點(diǎn)http://support.chinalinux.com，於是偷偷的試了一下其缺省安裝的可執(zhí)行虛擬目錄/chinaadc， 就是在瀏覽器里面輸入了http://support.chinalinux.com/chinaadc/，乖乖，返回的是“HTTP 錯(cuò)誤 403 - 禁止訪問”而不是此目錄不存在的 “HTTP 404 - 無法找到文件”錯(cuò)誤。大家都知道這個(gè)目錄是沒有做chroot限制的，可以成功的返回到系統(tǒng)的根“/”,再進(jìn)入系統(tǒng)目錄“/bin/ ”，執(zhí)行下面的shell程序“sh”了。當(dāng)然也就用此sh查看了一些web目錄結(jié)構(gòu)。 　　http://support.chinalinux.com/chinaadc/..蠟../..蠟../bin/sh.elf?ls /http 　　就可以看到web目錄所在東西了，很高興的看到了此目錄里面有一些腳本“.sh”文件。 　　對(duì)於這些腳本文件，CCS系統(tǒng)又有漏洞，那就是上面第4條的一個(gè)漏洞。在作接口的時(shí)候，接口實(shí)現(xiàn)程序一定得完全按照接口意思實(shí)現(xiàn)，這 點(diǎn)CCS系統(tǒng)出了更是無數(shù)的漏洞。而因?yàn)镃CS是相對(duì)操作系統(tǒng)後出來的了，它在調(diào)用操作系統(tǒng)調(diào)用的時(shí)候，當(dāng)然就不能要求操作系統(tǒng)來滿足它的 要求了，這些調(diào)用本身處於比CCS系統(tǒng)低的層次，也不應(yīng)該去滿足CCS的特殊要求，所以CCS必須明白一些操作系統(tǒng)調(diào)用有什么特殊的地方。這在 chinalinux系統(tǒng)實(shí)現(xiàn)加載程序的調(diào)用上，為了支持長(zhǎng)文件名、文件名里面的空格等，可以在加載的文件名前後加上“””號(hào)，chinalinux加載 程序就是用“””來匹配到底加載的是哪個(gè)文件。而又一點(diǎn)，如果檢測(cè)到是加載“.sh”的腳本文件，就自動(dòng)的調(diào)用shell程序“sh”去解釋， 而這調(diào)用也饒過了chroot使得不能訪問“/”以及系統(tǒng)目錄的限制。在調(diào)用“sh”的時(shí)候，操作系統(tǒng)會(huì)把這個(gè)腳本文件以及腳本文件的參數(shù)統(tǒng)一 作為參數(shù)加載。大家都知道shell程序“sh”本身支持命令連接符、管道等，所以我們可以在參數(shù)里面加上命令連接符和我們要執(zhí)行的命令。所 以CCS在加載程序的時(shí)候就必須應(yīng)該明白操作系統(tǒng)chinalinux加載程序的這些特性，從而實(shí)現(xiàn)相應(yīng)的檢測(cè)。 　　對(duì)於上面看到的web目錄結(jié)構(gòu)，以及里面的那些“.sh”腳本文件，我大膽的猜測(cè)其主站http://www.chinalinux.com可能也存在。雖然CCS 系統(tǒng)不準(zhǔn)直接加載“.sh”的腳本文件，但是我們可以通過使用“””的辦法使得實(shí)際加載的不是CCS系統(tǒng)需要的“.elf”格式文件。 　　http://www.chinalinux.com/csapi/..蠟http/china.sh” .elf?” & ls /bin 　　成功的突破了chroot對(duì)根“/”的限制，查看到了系統(tǒng)目錄，也可以完全控制主站了。當(dāng)然這些不是目的，我們也不希望這樣的站點(diǎn)有任何 的被修改，後來其站點(diǎn)終於也打上了相應(yīng)的補(bǔ)丁。 　　後來有人用unicode漏洞破了chinalinux一個(gè)廢棄不用的分站點(diǎn)，改了一個(gè)頁面并且大肆宣揚(yáng)，這完全沒有必要。我們需要的是通過這些方 法得到我們考慮問題的思路、方法等，而不是去破壞。 最後再次總結(jié)： 一、編寫WEB服務(wù)安全模型建立的必要性
二、站點(diǎn)安全配置往往因?yàn)橐稽c(diǎn)小小的錯(cuò)誤，使得全線崩潰 希望我們的程序員在編寫安全程序的時(shí)候，也要多考慮考慮我們?cè)趺茨軌蚋玫木帉懓踩某绦颉? 寫這個(gè)的時(shí)候隱含了很多信息.
chinalinux=microsoft
ccs=iis
chinaadc=msadc
csapi=isapi .sh=.bat
.elf=.exe 其實(shí)就是unicode漏洞拿下了 http://support.microsoft.com/msadc,因?yàn)榇苏军c(diǎn)有/msadc可執(zhí)行虛擬目錄,而此目錄和系統(tǒng)目錄在同一個(gè)驅(qū)動(dòng)器. 但主站http://www.chinalinux.com/isapi的可執(zhí)行目錄不在系統(tǒng)盤,unicode漏洞不能調(diào)用到系統(tǒng)目錄的 cmd.exe.但通過http://support.mscrosoft.com/msadc獲得了站點(diǎn)的目錄結(jié)構(gòu)及文件列表,找到里面的.bat文件了.再估計(jì)主站也有同樣的.bat文件,又通過另一個(gè)漏洞,調(diào)用.bat文件,這樣自動(dòng)調(diào)用cmd.exe,就不存在cmd.exe路徑問題,再通過另一個(gè)漏洞,執(zhí)行了命令. 通過3個(gè)未公開漏洞,以及一個(gè)分站點(diǎn)獲取信息,順利拿下主站點(diǎn).

最新評(píng)論