ShellShock 攻击实验
(一)何为ShellShock?
2014年9月24日,Bash中发现了一个严重漏洞shellshock,该漏洞可用于许多系统,并且既可以远程也可以在本地触发,这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。要是用一句话概括这个漏洞,就是代码和数据没有正确区分。
(二)实验准备
(1)环境搭建
sudo su
wget http://labfile.oss.aliyuncs.com/bash-4.1.tar.gz
(2)安装
tar xf bash-4.1.tar.gz
cd bash-4.1
./configure
make && make install
(3)链接
rm /bin/bash
ln -s /usr/local/bin/bash /bin/bash
(4)漏洞检查
exit
env x='() { :; }; echo vulnerable' bash -c "echo this is a test "