Bash scheint ein ziemlicher Grauß zu sein. Der Code geht immer noch:
env X='() { (a)=>\' sh -c "echo date"; cat echo
Hab's aber nicht geschafft auf basis diesen Codes meinen Demo CGI Server positiv zu testen. D.h. heißt aber nicht, dass das niemand anders auch nicht kann.
Nein, ich verwende Fedora und mit dem ersten Code *konnte* ich einen CGI Server exploiten. (Nicht das ich das tun will, ich habs nur getestet um zu sehn ob ich angreifbar bin - was ich leider gewesen währe, hätte ich einen Server über das Internet zugreifbar gemacht.) Ich hab früher mal KUbuntu verwendet, welches dash als /bin/sh verwendet. Da sind hinten und vorne viele Skripte die falscher weiße /bin/sh statt /bin/bash angeben auf die kryptischte Art abgestürzt (mit 100% CPU last und so). Also wegen solchen buggy Skripten ist das auch nicht das Wahre.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 26. Sep 2014 um 15:38.
Bash scheint ein ziemlicher Grauß zu sein. Der Code geht immer noch:
env X='() { (a)=>\' sh -c "echo date"; cat echo
Hab's aber nicht geschafft auf basis diesen Codes meinen Demo CGI Server positiv zu testen. D.h. heißt aber nicht, dass das niemand anders auch nicht kann.
Siehe:
https://twitter.com/taviso/status/514887394294652929
http://blog.fefe.de/?ts=aadd0ab6
Vielleich hast Du Debian oder Ubuntu und die CGI ausführende Shell ist gar nicht die Bash?
Nein, ich verwende Fedora und mit dem ersten Code *konnte* ich einen CGI Server exploiten. (Nicht das ich das tun will, ich habs nur getestet um zu sehn ob ich angreifbar bin - was ich leider gewesen währe, hätte ich einen Server über das Internet zugreifbar gemacht.) Ich hab früher mal KUbuntu verwendet, welches dash als /bin/sh verwendet. Da sind hinten und vorne viele Skripte die falscher weiße /bin/sh statt /bin/bash angeben auf die kryptischte Art abgestürzt (mit 100% CPU last und so). Also wegen solchen buggy Skripten ist das auch nicht das Wahre.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 26. Sep 2014 um 15:38.