安全科普:让高大上的Bash破壳漏洞不再难理解(上)

2014-11-05 +11 192886人围观 ,发现 10 个不明物体 系统安全

简介

“破壳”是一个严重漏洞的别名,在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均拥有存在CVE-2014-6271(即“破壳”漏洞)漏洞的Bash版本,同时由于Bash在各主流操作系统的广泛应用,此漏洞的影响范围包括但不限于大多数应用Bash的Unix、Linux、Mac OS X,而针对这些操作系统管理下的数据均存在高危威胁。

漏洞的利用方式会通过与Bash交互的多种应用展开,包括HTTP、OpenSSH、DHCP等,FreeBuf的相关报道请戳“

本文首先从基础讲解一些Bash知识,并尝试理解“破壳”漏洞的一些细节,其次会手把手的带领读者搭建一个漏洞实验环境,并尝试利用这个漏洞进行测试。

什么是“破壳"漏洞?

“破壳”是Bash(GNU Bourne Again Shell)中出现的允许攻击者通过环境变量执行任意命令的漏洞。

检查你的计算机是否存在此漏洞

bash --version
env x='() { :;}; echo shellshocked' bash –c "echo test"

当你的GNU Bash 版本小于等于4.3或出现以下回显则会证明存在此漏洞:

“破壳“漏洞探究,这条测试命令到底哪里危险?

现在你很有可能会问这样几个问题,当然这一部分也是本文的重点:

刚才那条命令是做什么的?
执行那条命令后为什么就证明存在漏洞?

别着急,这篇文章是面向新手的,自然要从基础讲起。

0×01 bash shell 变量基础

echo命令:
$ echo"shellshock"
定义个变量然后再echo:
$ gaba="shellshock"
$ echo $gaba

就像这样:

我们现在可以试试开一个bash子进程来看一下我们能不能得到变量的值:

$ gaba="shellshock"
$ echo $gaba
shellshock
$bash
$echo $gaba
$

没有回显,我们不能够读出变量的值是因为我们开启了一个bash子进程,但变量中的值,仍存在父进程中。

0×02 bash环境变量基础

当你开启一个shell会话时,一些变量已经准备好可供使用了,这些变量成为环境变量。

当我们想在子进程中访问$gaba变量的话,我们可以使用export命令将变量变成环境变量。

如上图所示,子进程可以访问环境变量。

我们可以使用env命令来查看环境变量:

当然,聪明的人会这样做:

$ env | grep 'gaba'

如果你不知道grep和|是什么意思的话,我建议使用搜索引擎查找一下这两条命令的基础用法。

0×03 bash函数与环境变量

我想,如果你有点编程基础的话再配合前面的几条基础说明,应该能看懂这几句命令的意思:

建立一个名为x的函数,并将函数x存放在环境变量中,正如你预期的那样,在子shell中仍可执行名为x的函数。

0×04 让字符串变成函数并执行

好了,我们已经知道了环境变量和函数,那么请看下面这条命令:

newfunction='() { echo 'shellshockdemo';}'

命令是不是没那么复杂?我们继续向刚才那样测试:

当我们将这段略复杂的字符串变成环境变量,并重新开启一个新的Bash 进程后,newfunction却可以像函数一样执行了echo 'shellshock'。

让我们看看环境变量中newfunction的情况:

我们再来试试这条命令:

$export newfunction='() { echo 'shellshockdemo';}; echo damn! I am vulnerable'

然后打开新的bash进程,神奇的事情发生了,新的进程刚刚启动,就出现了一句回显。:

当特殊的字符串变成环境变量后,环境变量又解析成函数,新的Bash进程在启动后又解析了环境变量并可以执行命令。

我们现在知道了触法并利用破壳漏洞的所需要的几点:

    被攻击的bash存在漏洞(版本小于等于4.3)
    攻击者可以控制环境变量
    新的bash进程被打开触发漏洞并执行命令

0×05 env命令

现在我们再来看一下刚才我们测试”破壳"漏洞的命令:

env x='() { :;}; echo shellshocked' bash -c "echo test"

但又为什么使用env命令呢?我们查看env的man手册和帮助:

我们用两条命令来理解一下env在这里的用法:

env newvar=demo 
env newvar=demo bash –c 'echo $newvar'
env x='() { echo accessme;}; echo vulnerable' bash –c 'x'

也就是说在上图中的echo vulnerable是在新的bash执行后执行的,并且又接着执行了x中的函数体echo accessme 。

OK,如果你能理解上图中的命令,那我们就大致理解了那句危险的测试命令的含义。

“破壳”漏洞利用

下面是一些“破壳”漏洞可能造成的严重后果:

Apache充当媒介用CGI组件满足远程访问并调用Bash的env命令

绕过ssh的ForceCommand功能

当然,这些内容将会在下篇文章中展开,敬请期待。

[信息来源:infosecinstitute,有改动,FreeBuf小编嘎巴整理,转载请注明来自FreeBuf.com]

发表评论

已有 10 条评论

取消
Loading...

特别推荐

关注我们 分享每日精选文章

css.php