http://tomcat.apache.org/tomcat-5.5-doc/security-manager-howto.html 

Hi,

Boom muốn tìm hiểu về vấn đề này nên hi vọng ai biết có thể chỉ cho mình nha. Vì khi nói về thâm nhập thì có vẻ tấn công server apache cài php là phổ biến nhất.
Mình có tìm hiểu Documentation của Apache Tomcat thì thấy rằng việc cấp permission trong Apache Tomcat 5.5 được thực hiện thông qua file policy

http://tomcat.apache.org/tomcat-5.5-doc/security-manager-howto.html 

Vậy có thể có cách nào để bypass những settings này? Chẳng hạn như trong settings thì không có quyền thao tác với file, mà mình muốn viết 1 trang JSP có thể làm đc việc này? Cũng nói cụ thể thêm trường hợp giả định là
 

- apache tomcat chạy dưới quyền root --> nếu có file-access permission thì khá nguy hiểm đó.
 

- Apache có cài thêm php 5.2.5, safemode off, no disable function
 

- deicated server, mỗi vhost có tương ứng 1 user. Các user này cùng nằm trong 1 group inetuser. Thư mục chứa web của từng user đều được cấp quyền 705 --> những người cùng group không thể thực hiện "local attack" để truy cập vào các file của người khác được.
 

- server mysql không nằm trên localhost
 

- kẻ tấn công đã có 1 con shell php
 

- OS linux ko có lỗi kernel để nâng quyền
 

Vậy suy nghĩ ban đầu của mình là làm cách nào đó từ con shell php với safemode off và no disable function thì thay đổi được policy chạy jsp, rồi upload 1 file jsp để thao tác (dưới quyền root). Mọi người có gợi ý gì ko?

Thanks 

Chắc boom đang nhầm lẫn giữa 2 thằng:
- Apache Webserver: là thằng web server mà mình hay xài/gặp.
- Apache Tomcat: tuy cũng có tên là Apache, và nó có vẻ "giống giống" như 1 webserver nhưng thực sự nó là không phải. Nó là 1 servlet container chứ không phải là 1 webserver như Apache Webserver. 

Chắc boom đang nhầm lẫn giữa 2 thằng:
- Apache Webserver: là thằng web server mà mình hay xài/gặp.
- Apache Tomcat: tuy cũng có tên là Apache, và nó có vẻ "giống giống" như 1 webserver nhưng thực sự nó là không phải. Nó là 1 servlet container chứ không phải là 1 webserver như Apache Webserver. 

nbthanh wrote:

Chắc boom đang nhầm lẫn giữa 2 thằng:
- Apache Webserver: là thằng web server mà mình hay xài/gặp.
- Apache Tomcat: tuy cũng có tên là Apache, và nó có vẻ "giống giống" như 1 webserver nhưng thực sự nó là không phải. Nó là 1 servlet container chứ không phải là 1 webserver như Apache Webserver. 

Vài thông tin thêm từ bài của bác nbthanh.

Tomcat là application server, đóng vai trò chính trong việc thực thi một web application, làm việc trực tiếp với database server. Ngoài Tomcat, có thể kể đến như GlassFish, JBoss... hỗ trợ được Java EE. 

Tại sao phải chạy tomcat dưới quyền root?  

tomcat có liên quan gì đến safemod đâu mà on với off?  

vhost này nằm trên tầng apache hay nằm trên tầng tomcat?  

Không quan trọng mà quan trọng là connect đến mysql bằng cách nào.  

Con shell đó ăn thua gì nếu .php không được biên dịch mà chỉ được xử lý như .txt?  

Có cách nào invoke được cái unix shell đâu mà phải lo chuyện nâng quyền do lỗi kernel?  

Cảm ơn bác nbthanh, thông tin bác đưa chính xác.
Sở dĩ tui nghĩ và ghi nhập nhằng như trên vì nhiều lúc vẫn dùng Tomcat với vai trò của một app server, vì có lẽ tui chưa gặp yêu cầu nào khác phức tạp ngoài khả năng phục vụ của Tomcat . Nhiều lập trình viên mới bước vào thế giới Java EE cũng nhầm lẫn như vậy. 

hi, thanks các bác đã reply. Hôm nay mất điện cả ngày ko làm gì được

Đầu tiên boom xin trả lời về Apache và Tomcat mà mọi người nhắc tới nha: trong trường hợp này Apache và Apache Tomcat đồng thời chạy cùng nhau!

Khi đọc Response Headers thì nhận được trường Server chỉ có 1 chuỗi đơn giản là "Apache". Tuy nhiên tại mọi thư mục, đều có thể chạy cả script php và jsp.

Khi chạy phpinfo() thì nhận được :
_SERVER["SERVER_SIGNATURE"] : Apache/1.3.33 Server
_SERVER["SERVER_SOFTWARE"] : Apache

Trong các directory listing thì hiện theo kiểu Apache tomcat và có dòng sau ở cuối trang:
Apache Tomcat/5.0.27 

hi bác nbthanh,

1. đúng ^^
2. đúng ^^
3. đúng Bài trả lời K4i của boom có thể giải thích rõ hơn 1 chút đó bác. Boom nói rõ thêm là 1 trang jsp bình thường có thể chạy được, nhưng nếu đụng tới đọc file, hay exec gì là nó báo lỗi permission liền ^^ 

hi, thanks các bác đã reply. Hôm nay mất điện cả ngày ko làm gì được

Đầu tiên boom xin trả lời về Apache và Tomcat mà mọi người nhắc tới nha: trong trường hợp này Apache và Apache Tomcat đồng thời chạy cùng nhau!

Khi đọc Response Headers thì nhận được trường Server chỉ có 1 chuỗi đơn giản là "Apache". Tuy nhiên tại mọi thư mục, đều có thể chạy cả script php và jsp.

Khi chạy phpinfo() thì nhận được :
_SERVER["SERVER_SIGNATURE"] : Apache/1.3.33 Server
_SERVER["SERVER_SOFTWARE"] : Apache

Trong các directory listing thì hiện theo kiểu Apache tomcat và có dòng sau ở cuối trang:
Apache Tomcat/5.0.27

Tomcat được đặt trong thư mục /web/tomcat
php.ini được đặt trong thư mục /web/conf
 

Ok, h boom trả lời tiếp bài của bác conmale nha:

conmale wrote:

Tại sao phải chạy tomcat dưới quyền root?  

Đó là cấu hình trên server đó, cũng có thể coi là 1 trường hợp giả định như thế, nên ta mới đặt ra mục tiêu làm sao có được các permission của tomcat để có được quyền root.
 

conmale wrote:

tomcat có liên quan gì đến safemod đâu mà on với off?  

Đúng thế, vì vậy boom mới viết safemode off ở dòng liên quan đến PHP đó bác. Thông tin này được lấy ra từ phpinfo()
 

conmale wrote:

vhost này nằm trên tầng apache hay nằm trên tầng tomcat?  

Có lẽ là của apache, document-root của mỗi user có dạng: /home/u/s/r/user/html
chứ không phải là /web/tomcat/webapps/ hoặc liên quan j tới tomcat
 

conmale wrote:

Không quan trọng mà quan trọng là connect đến mysql bằng cách nào.  

Boom chưa rõ ý câu hỏi này lắm, khi boom nói mysql nằm ở host khác là ý muốn nói không thể dùng các hàm thao tác file trên server này thông qua mysql được
 

conmale wrote:

Con shell đó ăn thua gì nếu .php không được biên dịch mà chỉ được xử lý như .txt?  

Shell php và jsp đều chạy được như boom đã giải thích ở trên (có điều shell jsp do bị cấm nhiều quyền như đã nói ở bài đầu tiên nên không có tác dụng)
 

conmale wrote:

Có cách nào invoke được cái unix shell đâu mà phải lo chuyện nâng quyền do lỗi kernel?  

Cái này thì có chứ bác, 1 số shell đều có chức năng bind port và cả back connect.
 

Mong mọi người chỉ giáo  

Sao không được? Nếu php hoặc jsp có một config nào chứa DB account (username, pass, db host, db port, db name...) thì vẫn có thể chạy mysql command ngay trên host chạy apache đó để truy cập vào DB. Nếu không thì làm sao php, jsp truy vấn được DB?  

Cái gì khiến cho "shell" jsp cấm nhiều quyền và "shell" ít cấm?  

// ========== WEB APPLICATION PERMISSIONS =====================================


// These permissions are granted by default to all web applications
// In addition, a web application will be given a read FilePermission
// and JndiPermission for all files and directories in its document root. 

À... "shell" ở dạng này hả? nó là một "shell" giả, không set tty (tự tìm hiểu thêm) nên chỉ chạy lặt vặt vài lệnh cho vui chớ không thể exploit thật sự được. Dùng loại "shell" này chỉ hú họa may có 1 cái script nào do root own nhưng lại set mode là 777 thì còn họa may chấm mút chút đỉnh. Đó là chưa kể hầu hết các server ngày nay có firewall mặc định không cho phép truy cập vào các cổng không thông thường (như 25, 80, 443...) thì dùng có spawn 100 cái socket cũng không cách gì connect vào.  

Tất nhiên là mình có thể connect tới mysql server nhờ có tài khoản "lụm" được trong file config. Lúc trước boom vẫn nghĩ rằng trong trường hợp này, thì câu query sẽ được gửi tới cái remote mysql server kia, và nó phải được thực thi ở trên server đó. Do vậy các thao tác liên quan tới file (câu truy vấn kiểu như select load_file (...) ) nếu thực thì được thì cũng không phải là các file trên máy chủ mình đang cần khai thác mà là máy chủ chứa mysql kìa.
Tuy nhiên có vẻ như nhận định này đã sai, boom mới thử xong thì dường như kết quả trả về lại đúng là các file trên máy chủ mình cần khai thác. Điều này thì quả thật boom chưa hiểu, boom nghĩ rằng mysql server là thằng chịu trách nhiệm xử lý query chứ? Ai rõ về phần này chỉ cho boom với nha 

/web/tomcat/conf/catalina.policy quy định policy cho Tomcat, còn /web/conf/php.ini chứa các thông số config cho PHP.
Cũng nói thêm (và đính chính) là file catalina.policy có quyền đọc (có lẽ lúc trước boom không để ý). Và boom để ý có dòng sau:  

// These permissions are granted by default to all web applications
// In addition, a web application will be given a read FilePermission
// for all files and directories in its document root.
grant {
permission java.util.PropertyPermission "java.version", "read";
permission java.util.PropertyPermission "java.vendor", "read";
permission java.util.PropertyPermission "java.vendor.url", "read";
permission java.util.PropertyPermission "java.class.version", "read";
permission java.util.PropertyPermission "os.name", "read";
permission java.util.PropertyPermission "os.version", "read";
permission java.util.PropertyPermission "os.arch", "read";
permission java.util.PropertyPermission "file.separator", "read";
permission java.util.PropertyPermission "path.separator", "read";
permission java.util.PropertyPermission "line.separator", "read";

permission java.util.PropertyPermission "java.specification.version", "read";
permission java.util.PropertyPermission "java.specification.vendor", "read";
permission java.util.PropertyPermission "java.specification.name", "read";

permission java.util.PropertyPermission "java.vm.specification.version", "read";
permission java.util.PropertyPermission "java.vm.specification.vendor", "read";
permission java.util.PropertyPermission "java.vm.specification.name", "read";
permission java.util.PropertyPermission "java.vm.version", "read";
permission java.util.PropertyPermission "java.vm.vendor", "read";
permission java.util.PropertyPermission "java.vm.name", "read";
permission java.io.FilePermission "jndi:/WEB-INF/-", "read";
};  

permission java.io.FilePermission "${catalina.home}/webapps/jse/WEB-INF/storage/*", "write";  

Tuy nhiên, cũng xin nói thêm là server đã có firewall (or đứng sau router), vì thế bind port có thể thành công nhưng không thể kết nối tới được, và cũng ko back connect được luôn - cái này có lẽ do firewall. Sau khi thưc hiện back connect, boom thử netstat thì thấy báo ở dòng tương ứng là SYN_SENT.