网站地图
  |  
RSS订阅
  |  
设为首页
  |  
加入收藏
远程bash漏洞新教程 这个代码你可以看看
来源:艾特云主机时间:2019-08-22 18:11:34浏览数:496

最近,BASH爆出来一个远程代码执行的漏洞CVE-2014-6271。小编使用了一下发现还不错,大家可以参考下面的代码看看。

  BASH除了可以将shell变量导出为环境变量,还可以将shell函数导出为环境变量!当前版本的bash通过以函数名作为环境变量名,以“{”开头的字串作为环境变量的值来将函数定义导出为环境变量。

远程bash漏洞新教程 这个代码你可以看看  
  此次爆出的漏洞在于BASH处理这样的“函数环境变量”的时候,并没有以函数结尾“}”为结束,而是一直执行其后的shell命令!例如

  目前,接受HTTP命令的CGIShell脚本是最主要的被攻击对象。一个常见的HTTP请求是这样:

  远程bash漏洞新教程

  GET/path?query-param-name=query-param-valueHTTP/1.1

  Host:www.example.com

  Custom:custom-header-value

  CGI标准将http请求的所有部分都映射到了环境变量。例如对于Apache的Httpd,字串{可以出现在以下这些地方:

  *Host(“www.example.com”,asREMOTE_HOST)

  *Headervalue(“custom-header-value”,asHTTP_CUSTOMinthisexample)

  *Serverprotocol(“HTTP/1.1”,asSERVER_PROTOCOL)

  通过自定义这些参数的值为“函数环境变量”的形式,就可以远程执行命令!!!例如:

  curl-HUser-Agent:{:;};echofuckyou!http://xxxxx/victim.sh

  此外,OpenSSH也因其AcceptEnv、TERM、SSH_ORIGINAL_COMMAND等环境变量受此漏洞影响。目前还有更多的受影响程序和利用方式正在不断地被发掘出来!

  今天的bash新出的远程漏洞就到这了,有什么问题欢迎来艾特网站,感谢大家。

本文关键词:服务器知识

下一篇:服务器硬件日常维护内容及步骤有哪些 实用小技能赶快get
服务器硬件日常维护内容及步骤有哪些 实用小技能赶快get
相关文章
猜你喜欢
新人在选择主机空间的时候往往不知道该如何选择,我们的电信虚拟主机就很不错,也可以尝试了解一下。其实选择主机空间说容易也不容易说难也不难,关键是会看几个参数。就虚拟主机而言,看懂参数事半功倍,今天小编就和大家来分享几个参数
一周热门文章
2012年开始运作,所有服务器在荷兰ServeriusB.V.;商家禁止:Spamhaus(Spam)、未成年XX、欺诈、违法药品(包括毒)、黑客行为、邮件群发、反向“戴丽”、违法物质、仿冒、外汇、虚拟货币(游戏币都不行)。PayPal、信用卡、比特币都可以付款!
directspace大家都称他为DS,是个美国的老牌IDC了,很早的时候就因为directspace的2美元的VPS让大家狂热,虽然现在directspace的2美元的VPS已经满大街都是了,更低价格的都充斥着网络,但那个时候directspace的2美元VPS还是让大家争抢的激烈,后来directspace推出了15美元年付的OpenVZ的VPS,也让大家议论了很久,所以关于directspace基本可以放心的用。
加固我们的服务器是大势所需也是必要步骤,为什么可以这样说呢?在信息时代的当下,我们每个人的信息都不会是绝对的安全,我们要找到一个完全隐蔽的地方是很难的,加固服务器可以说是势在必行。
VPS服务器上,每个网络应用程序的安装和运行,都会有默认的服务器端口号,并会随着应用程序或服务的运行而打开。如web服务器端口80、FTP服务器端口21、MySQL数据库端口3306、远程登录端口3389及SMTP服务器端口25等。
Six6免费虚拟主机空间,6G容量,无限月流量,简体中文版cPanel主机管理面板,支持FTP、Web方式上传管理文件,支持PHP5,不提供MySQL数据库。Six6免费PHP空间提供免费二级域名1个。
Copyright © 2012-2020 艾特云主机 版权所有