网站地图
  |  
RSS订阅
  |  
设为首页
  |  
加入收藏
远程bash漏洞新教程 这个代码你可以看看
来源:艾特云主机时间:2019-08-22 18:11:34浏览数:375

最近,BASH爆出来一个远程代码执行的漏洞CVE-2014-6271。小编使用了一下发现还不错,大家可以参考下面的代码看看。

  BASH除了可以将shell变量导出为环境变量,还可以将shell函数导出为环境变量!当前版本的bash通过以函数名作为环境变量名,以“{”开头的字串作为环境变量的值来将函数定义导出为环境变量。

远程bash漏洞新教程 这个代码你可以看看  
  此次爆出的漏洞在于BASH处理这样的“函数环境变量”的时候,并没有以函数结尾“}”为结束,而是一直执行其后的shell命令!例如

  目前,接受HTTP命令的CGIShell脚本是最主要的被攻击对象。一个常见的HTTP请求是这样:

  远程bash漏洞新教程

  GET/path?query-param-name=query-param-valueHTTP/1.1

  Host:www.example.com

  Custom:custom-header-value

  CGI标准将http请求的所有部分都映射到了环境变量。例如对于Apache的Httpd,字串{可以出现在以下这些地方:

  *Host(“www.example.com”,asREMOTE_HOST)

  *Headervalue(“custom-header-value”,asHTTP_CUSTOMinthisexample)

  *Serverprotocol(“HTTP/1.1”,asSERVER_PROTOCOL)

  通过自定义这些参数的值为“函数环境变量”的形式,就可以远程执行命令!!!例如:

  curl-HUser-Agent:{:;};echofuckyou!http://xxxxx/victim.sh

  此外,OpenSSH也因其AcceptEnv、TERM、SSH_ORIGINAL_COMMAND等环境变量受此漏洞影响。目前还有更多的受影响程序和利用方式正在不断地被发掘出来!

  今天的bash新出的远程漏洞就到这了,有什么问题欢迎来艾特网站,感谢大家。

本文关键词:服务器知识

下一篇:服务器硬件日常维护内容及步骤有哪些 实用小技能赶快get
服务器硬件日常维护内容及步骤有哪些 实用小技能赶快get
相关文章
猜你喜欢
说起winhost主机​相信大部分的人应该非常清楚,这时美国主机中为数不多的专注于提供基于windows虚拟主机解决方案的服务商。他们的产品包含的内容有很多并且还支持PHP,用户在使用的时候可以选择更多的开发语言。相对于市场而言,winhost的价格会比较的实惠。有时候我们需要修改hosts文件。那么具体应该如何操作呢?怎样快速修改win7系统中的host文件?
一周热门文章
便宜莫贪的道理人人都懂,可真面对免费资源的时候,是不是人人都能把持住呢?不要随意连接免费WiFi的道理人人都知道,可你有想过那些遍布网络的免费VPN会有问题吗?今天我们就来聊一聊免费vpn的问题。
测试到本地的路由追踪,因为这几天在其他地方住,所以环境变联通了,不过离上次测评所在的地方不算太远,也就一两百公里吧。走广州CN2线路。
VPS服务器上,每个网络应用程序的安装和运行,都会有默认的服务器端口号,并会随着应用程序或服务的运行而打开。如web服务器端口80、FTP服务器端口21、MySQL数据库端口3306、远程登录端口3389及SMTP服务器端口25等。
Six6免费虚拟主机空间,6G容量,无限月流量,简体中文版cPanel主机管理面板,支持FTP、Web方式上传管理文件,支持PHP5,不提供MySQL数据库。Six6免费PHP空间提供免费二级域名1个。
有单IP地址单网卡;双IP地址单网卡;双IP地址双网卡三种方式。其中单网卡双IP和双网卡双IP两种都有一个电信IP地址和一个网通IP地址。电信用户访问电信IP地址,网通用户访问网通IP地址,这样才能实现电信网通快速访问。
Copyright © 2012-2020 艾特云主机 版权所有