免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2223 | 回复: 8

[其他] [漏洞相关]bash的匿名函数在man page的哪部分有体现? [复制链接]

论坛徽章:
20
程序设计版块每日发帖之星
日期:2015-08-17 06:20:00程序设计版块每日发帖之星
日期:2016-07-16 06:20:00程序设计版块每日发帖之星
日期:2016-07-18 06:20:00每日论坛发贴之星
日期:2016-07-18 06:20:00黑曼巴
日期:2016-12-26 16:00:3215-16赛季CBA联赛之江苏
日期:2017-06-26 11:05:5615-16赛季CBA联赛之上海
日期:2017-07-21 18:12:5015-16赛季CBA联赛之青岛
日期:2017-09-04 17:32:0515-16赛季CBA联赛之吉林
日期:2018-03-26 10:02:16程序设计版块每日发帖之星
日期:2016-07-15 06:20:0015-16赛季CBA联赛之江苏
日期:2016-07-07 18:37:512015亚冠之萨济拖拉机
日期:2015-08-17 12:21:08
发表于 2016-01-28 11:31 |显示全部楼层
本帖最后由 nswcfd 于 2016-01-28 11:32 编辑

破壳漏洞(shellshock,http://drops.wooyun.org/papers/3268)利用了bash自身的一个漏洞,
其中涉及到'匿名'函数 (其实也不是‘匿名’,只是语法上比较奇特)
varf='() { echo anoymous; }'
export varf
bash -c varf

问题是,这部分内容在bash的man pages里有体现么?
有没有正式的文字说明,bash在启动时遇到'() {'开始的环境变量会解释为函数?
源代码里当然有,我想知道这部分逻辑在man bash或者info bash里面有没有体现,它是undocumented,还是documented?

论坛徽章:
84
每日论坛发贴之星
日期:2015-12-29 06:20:00每日论坛发贴之星
日期:2016-01-16 06:20:00每周论坛发贴之星
日期:2016-01-17 22:22:00程序设计版块每日发帖之星
日期:2016-01-20 06:20:00每日论坛发贴之星
日期:2016-01-20 06:20:00程序设计版块每日发帖之星
日期:2016-01-21 06:20:00每日论坛发贴之星
日期:2016-01-21 06:20:00程序设计版块每日发帖之星
日期:2016-01-23 06:20:00程序设计版块每日发帖之星
日期:2016-01-31 06:20:00数据库技术版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-14 06:20:00
发表于 2016-01-28 14:01 |显示全部楼层
你测试用的 什么版本?

论坛徽章:
84
每日论坛发贴之星
日期:2015-12-29 06:20:00每日论坛发贴之星
日期:2016-01-16 06:20:00每周论坛发贴之星
日期:2016-01-17 22:22:00程序设计版块每日发帖之星
日期:2016-01-20 06:20:00每日论坛发贴之星
日期:2016-01-20 06:20:00程序设计版块每日发帖之星
日期:2016-01-21 06:20:00每日论坛发贴之星
日期:2016-01-21 06:20:00程序设计版块每日发帖之星
日期:2016-01-23 06:20:00程序设计版块每日发帖之星
日期:2016-01-31 06:20:00数据库技术版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-14 06:20:00
发表于 2016-01-28 14:11 |显示全部楼层
RHEL-6 RHEL-7 试了一下, 发现没有这个问题;
    是代码缺陷,而不是特性吧?

论坛徽章:
84
每日论坛发贴之星
日期:2015-12-29 06:20:00每日论坛发贴之星
日期:2016-01-16 06:20:00每周论坛发贴之星
日期:2016-01-17 22:22:00程序设计版块每日发帖之星
日期:2016-01-20 06:20:00每日论坛发贴之星
日期:2016-01-20 06:20:00程序设计版块每日发帖之星
日期:2016-01-21 06:20:00每日论坛发贴之星
日期:2016-01-21 06:20:00程序设计版块每日发帖之星
日期:2016-01-23 06:20:00程序设计版块每日发帖之星
日期:2016-01-31 06:20:00数据库技术版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-14 06:20:00
发表于 2016-01-28 14:34 |显示全部楼层
找旧版本装上, 复现了:    挺有意思的,  明显是个bug;  bash 的qe怎么没有测出来了呢
  1. [root@hp-dl380pg8-14 ~]# VAR='() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
  2. Bash is vulnerable!
  3. Bash Test
  4. [root@hp-dl380pg8-14 ~]# HELLO="() { echo 'Hello'; }" bash -c HELLO
  5. Hello
  6. [root@hp-dl380pg8-14 ~]# LANG=C bash --version
  7. GNU bash, version 4.0.28(1)-release (x86_64-redhat-linux-gnu)
  8. Copyright (C) 2009 Free Software Foundation, Inc.
  9. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>

  10. This is free software; you are free to change and redistribute it.
  11. There is NO WARRANTY, to the extent permitted by law.
  12. [root@hp-dl380pg8-14 ~]# LANG=C rpm -qi bash-4.0.28-1.el6
  13. Name        : bash                         Relocations: (not relocatable)
  14. Version     : 4.0.28                            Vendor: Red Hat, Inc.
  15. Release     : 1.el6                         Build Date: Wed Sep  2 04:27:56 2009
  16. Install Date: Thu Jan 28 14:22:44 2016         Build Host: x86-001.build.bos.redhat.com
  17. Group       : System Environment/Shells     Source RPM: bash-4.0.28-1.el6.src.rpm
  18. Size        : 2641765                          License: GPLv2+
  19. Signature   : (none)
  20. Packager    : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
  21. URL         : http://www.gnu.org/software/bash
  22. Summary     : The GNU Bourne Again shell
  23. Description :
  24. The GNU Bourne Again shell (Bash) is a shell or command language
  25. interpreter that is compatible with the Bourne shell (sh). Bash
  26. incorporates useful features from the Korn shell (ksh) and the C shell
  27. (csh). Most sh scripts can be run by bash without modification.
  28. [root@hp-dl380pg8-14 ~]# HELLO="() { echo 'Hello'; }; echo fff" bash -c "echo kkk"
  29. fff
  30. kkk
复制代码

论坛徽章:
1
摩羯座
日期:2014-12-29 15:59:36
发表于 2016-01-28 15:58 |显示全部楼层
Bash文档只会讲export过的函数会被子进程Shell继承到,不会讲具体的实现细节。
这个bug早就被修复了,即便是旧版本的Bash,也已经打了补丁。
可以看看我的博客 cnblogs.com/ziyunfei/p/4828767.html

论坛徽章:
12
程序设计版块每日发帖之星
日期:2016-01-28 06:20:00程序设计版块每周发帖之星
日期:2016-03-07 16:29:28程序设计版块每日发帖之星
日期:2016-02-04 06:20:00程序设计版块每日发帖之星
日期:2016-02-02 06:20:00每周论坛发贴之星
日期:2016-01-31 22:22:00程序设计版块每日发帖之星
日期:2016-02-01 06:20:00程序设计版块每日发帖之星
日期:2016-01-31 06:20:00每日论坛发贴之星
日期:2016-01-30 06:20:00程序设计版块每日发帖之星
日期:2016-01-30 06:20:00每日论坛发贴之星
日期:2016-01-29 06:20:00程序设计版块每日发帖之星
日期:2016-01-29 06:20:0015-16赛季CBA联赛之福建
日期:2016-04-06 14:19:05
发表于 2016-01-28 16:17 |显示全部楼层
楼上大神 。。。。。  学习一下

论坛徽章:
84
每日论坛发贴之星
日期:2015-12-29 06:20:00每日论坛发贴之星
日期:2016-01-16 06:20:00每周论坛发贴之星
日期:2016-01-17 22:22:00程序设计版块每日发帖之星
日期:2016-01-20 06:20:00每日论坛发贴之星
日期:2016-01-20 06:20:00程序设计版块每日发帖之星
日期:2016-01-21 06:20:00每日论坛发贴之星
日期:2016-01-21 06:20:00程序设计版块每日发帖之星
日期:2016-01-23 06:20:00程序设计版块每日发帖之星
日期:2016-01-31 06:20:00数据库技术版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-16 06:20:00程序设计版块每日发帖之星
日期:2016-01-14 06:20:00
发表于 2016-01-28 17:00 |显示全部楼层
本帖最后由 yjh777 于 2016-01-28 17:03 编辑

多谢 5楼 分享; 原来 export -f 实现版本之间有差异;

f=() {  echo f
}

通过在 function 的变量名里面加入 shell 变量不支持的符号,避免了逻辑歧义:
BASH_FUNC_f()=() {  echo f
}

这样用户就没有办法在shell里面,通过自定义环境变量,来注入函数了.

论坛徽章:
20
程序设计版块每日发帖之星
日期:2015-08-17 06:20:00程序设计版块每日发帖之星
日期:2016-07-16 06:20:00程序设计版块每日发帖之星
日期:2016-07-18 06:20:00每日论坛发贴之星
日期:2016-07-18 06:20:00黑曼巴
日期:2016-12-26 16:00:3215-16赛季CBA联赛之江苏
日期:2017-06-26 11:05:5615-16赛季CBA联赛之上海
日期:2017-07-21 18:12:5015-16赛季CBA联赛之青岛
日期:2017-09-04 17:32:0515-16赛季CBA联赛之吉林
日期:2018-03-26 10:02:16程序设计版块每日发帖之星
日期:2016-07-15 06:20:0015-16赛季CBA联赛之江苏
日期:2016-07-07 18:37:512015亚冠之萨济拖拉机
日期:2015-08-17 12:21:08
发表于 2016-01-29 13:21 |显示全部楼层
回复 5# ziyunfei


一直没有看过shell的实现,所以当第一次看到漏洞的POC时感到很奇怪,怎么可以这样去导出函数啊?(常规的方式是先定义再去export -f)

抛开漏洞本身不谈,环境变量里有“() {”表示函数(看代码还必须有空格,即4个字符),估计这是一个“惯用用法”吧。

有没有任何书面的资料在描述这个“惯用用法”?(稍微有些强迫症 凡事都要找个出处……)

论坛徽章:
20
程序设计版块每日发帖之星
日期:2015-08-17 06:20:00程序设计版块每日发帖之星
日期:2016-07-16 06:20:00程序设计版块每日发帖之星
日期:2016-07-18 06:20:00每日论坛发贴之星
日期:2016-07-18 06:20:00黑曼巴
日期:2016-12-26 16:00:3215-16赛季CBA联赛之江苏
日期:2017-06-26 11:05:5615-16赛季CBA联赛之上海
日期:2017-07-21 18:12:5015-16赛季CBA联赛之青岛
日期:2017-09-04 17:32:0515-16赛季CBA联赛之吉林
日期:2018-03-26 10:02:16程序设计版块每日发帖之星
日期:2016-07-15 06:20:0015-16赛季CBA联赛之江苏
日期:2016-07-07 18:37:512015亚冠之萨济拖拉机
日期:2015-08-17 12:21:08
发表于 2016-01-29 15:10 |显示全部楼层
赞一下5楼的博客!

env可以看到export -f的结果,这样的话就算没有明确的文档说明,也是事实上的标准了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP