信息安全 SEED Lab2 Shellshock Attack

最新推荐文章于 2024-10-22 18:01:48 发布
最新推荐文章于 2024-10-22 18:01:48 发布
阅读量931 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 信息安全 文章标签: 信息安全 SEED
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mdzzname/article/details/115488082

1. Task 1

这部分主要是要求你设计一个小实验看shell是不是有shellshock这个漏洞,我们可以使用下面的命令:

foo="() { echo "hello"; }; echo "extra";"
export foo

1. 有漏洞shell版本

运行结果如下,可以看到运行了后面的echo命令输出extra,也存在函数foo的定义

 

2. 无漏洞shell版本:

运行结果如下,可以看到未运行后面的echo命令输出extra,也没有函数foo的定义

 

结论: 用上面的命令可以判断shell是否存在shellshock漏洞

 

2. Task 2

这部分主要写一个 cgi 脚本,并未涉及到攻击

主要是在 /usr/lib/cgi-bin 下创建一个 cgi 脚本 并配置好权限及测试。

1. 有漏洞shell版本

cgi脚本内容如下:

#!/bin/bash_shellshock

echo "Content-type: text/plain"
echo
echo
echo "H
最低0.47元/天 解锁文章

200万优质内容无限畅学
漏洞分析Shellshock Attack Lab(自用,记录)
weixin_48392428的博客
07-05 1393
Shellshock Attack Lab1. Overview2. Lab TasksTask 1: Attack CGI programsTask 2ATask 2BTask 2CTask3 问题 1. Overview 2014 年 9 月 24 日,发现了 Bash 中的一个严重漏洞 Shellshock,这个漏洞可以用于许多系统,可以远程启动,也可以从本地机器启动。在这个实验中,学生们需要研究这种攻击,这样他们才能了解Shellshock 的脆弱性。学习本实验室的目的是让学生对这种有趣的攻击有第一
SEED Labs – Shellshock Attack Lab
qq_43252441的博客
12-22 1573
Task 1: Experimenting with Bash Function Ubuntu 16.04中的Bash程序已被修补,因此它不再容易受到Shellshock的攻击。为了本实验的目的,我们在/bin文件夹中安装了易受攻击的Bash版本。它的名字叫bash_shellshock。 我们需要在任务中使用此Bash。 请运行此易受攻击的版本的Bash,如下所示,然后设计一个实验来验证该Bash是否易受攻击Shellshock攻击与否。 $ /bin/bash_shellshock 在补丁版本的bas
SEED实验系列:ShellShock 攻击实验
weixin_33897722的博客
04-21 756
2019独角兽企业重金招聘Python工程师标准>>> ...
Shellshock_Attack
大草的博客
04-12 485
bash的漏洞介绍 符合利用漏洞的CGI 使用reverse shell
seed-labs 软件部分-shellshock
u011632676的博客
06-04 458
seed-labs 软件部分- shellshockshellshock背景shellshock 漏洞定义漏洞bash源码中的错误shellshock漏洞利用利用shellshock攻击CGI程序web服务器调用CGI程序反向shellproblems shellshock 背景 Shell程序是操作系统中的命令行解释器 提供用户和操作系统之间的接口 不同类型的shell:sh、bash、csh、zsh、windows powershell等 bashshell是Linux操作系统中最流行的shell程序之
信息安全-科软课程】Lab3 Shellshock Attack
weixin_41950078的博客
04-13 1091
1.0 前言 2014年9月24日,发现了Bash的一个严重漏洞。昵称为Shellshock的这个漏洞可以利用许多系统,并从远程或本地机器上启动。在这个实验室里,学生们需要研究这种攻击,这样他们就能了解Shellshock的弱点。这个实验的学习目标是让学生对这种有趣的攻击有第一手的经验,了解它是如何运作的,并思考我们能从这种攻击中学到什么。该实验室的第一个版本是在2014年9月29日开发的,也就是袭击被报道的五天之后。这是2014年9月30日在我们计算机安全课上分配给学生的。SEED项目的一个重要任务是迅
Shellshock Attack SEED-LAB
qq_51660793的博客
10-24 1694
shellshock seed-lab
Shellshock Attack Lab
m0_46616663的博客
10-28 441
Shellshock Attack Lab 使用Ubuntu 16.04 20.04可以使用docker或者安装apache做后面的task Task1 Bash的版本:在本书提供的SEED Ubuntu 16.04虚拟机中,有两个版本的Bash程序位于/bin目录中。一个版本就叫Bash,这个版本已经打了补丁,所以不会受Shellshock攻击的影响。终端中运行的shell程序就是这个安全的Bash版本,它在函数传递的行为方面做了改变。另外一个版本叫bash_shellshock,这个版本没有打过补丁。因
LAB 2 Shellshock Attack
qq_39411845的博客
07-18 611
Shellshock Attack利用Shellshock攻击Set-UID程序Web服务器调用CGI程序Task 1: Experimenting with Bash FunctionTask 2: Setting up CGI programsTask 3: Passing Data to Bash via Environment VariableTask 4: Launching the Shellshock AttackTask 5: Getting a Reverse Shell via Shel
ShellShock 攻击实验
qq_29687403的博客
07-21 1238
ShellShock 攻击实验 实验简介 2014年9月24日,Bash中发现了一个严重漏洞shellshock,该漏洞可用于许多系统,并且既可以远程也可以在本地触发。在本实验中,我们需要亲手重现攻击来理解该漏洞,并回答一些问题。 准备工作 Shellshock Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年
Lab-03--Shellshock.zip
12-22
包括SEED实验Lab-03--Shellshock的实验指导书和报告。
复旦大学_软件安全_SEED labs_2-Return_to_libc.zip
06-27
复旦大学_软件安全_SEED labs_2-Return_to_libc实验 是从雪城大学SEED labs上找的实验 资源包括:原始文件夹、攻击代码、实验报告详细版
【安全】Shellshock漏洞
01-30 643
Shellshock利用了linux环境变量解析问题,进而可以进行针对正常应用启动shell时进行劫持。通过该漏洞,可以实现CGI环境下的RCE,以及针对特权应用的提权。 可以简单理解为,当环境变量可控时,均存在攻击场景。如此看来,该漏洞危害极大,攻击场景非常广。
软件安全课程实验2 Shellshock Attack lab
zino00的博客
01-27 4010
Shellshock_Attack_lab task 1 //vul.c #include <unistd.h> #include <stdio.h> #include <stdlib.h> void main(){ setuid(geteuid()); system("/bin/ls -l"); } 首先准备有漏洞的程序vul.c 然后我们编译运行,并将其变成一个set-UID程序 因为Ubuntu20.04中/bin/sh指向/bin/dash,而这个程序没有s
shellshock-Attack-Lab
qq_49005782的博客
11-07 4268
shellshock Attack Lab 实验概述 实验背景 2014 年 9 月 24 日,发现了 Bash 中的一个严重漏洞 Shellshock,这个漏洞可以用于许多系统,可以远程启动,也可以从本地机器启动。在这个实验中,学生们需要研究这种攻击,这样才能了解Shellshock 的脆弱性. 此次实验包括以下四个内容: Shellshock Environment variables Function definition in bash Apache and CGI programs 实验
Shellshock漏洞回顾与分析测试
xiaoshan812613234的专栏
12-25 1715
0x00 漏洞概述 很多人或许对2014上半年发生的安全问题“心脏流血”(Heartbleed Bug)事件记忆颇深,2014年9月,又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。这个漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现。随后,美国电脑应急响应中心(US-CERT)、红帽以及多家从事安全的公司于周三(北京时间2014年9月24日)发出警告
SEED Labs 2.0】Transport Layer Security (TLS) Lab
热门推荐
Chenyang的博客
08-27 1万+
本文为 SEED Labs 2.0 - Transport Layer Security (TLS) Lab 的试验记录。本实验的遇到困难的地方在 task 2.c,要求证书与 CA 的 C、ST 等完全相同才能正常工作,否则会报错。经过查阅发现,这是签发策略导致的。......
Seed-Labs 2.0】Shellcode Development Lab
最新发布
AustinCyy的博客
10-22 1079
Seed Labs】 - Shellcode Development Lab
SEED实验Lab-03: 深入理解Shellshock漏洞
资源摘要信息:"本资源包名为Lab-03--Shellshock.zip,主要内容是与SEED实验相关的Lab-03--Shellshock的实验指导书和报告。这个实验主题聚焦于信息安全领域中的Shellshock漏洞,也称为CVE-2014-6271,它是在2014年9月...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值