Bash 3.0-4.3命令执行漏洞分析

POC

在Bash Shell下执行以下代码：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果输出：
vulnerable


this is a test

原理分析：

Shell里可以定义变量，POC中定义了一个命名为x的变量，内容是一个字符串：
() { :;}; echo vulnerable
而根据漏洞信息得知，这个漏洞产生于Shell在处理函数定义时，执行了函数体之后的命令。但这里x的值是个字符串，它是怎么转变成函数的呢。

实际这个和Bash实现有关，在Bash中定义一个函数，格式为：
function function_name() {
body;
}
当Bash在初始化环境变量时，语法解析器发现小括号和大括号的时候，就认为它是一个函数定义

产生漏洞的原因分析：这个漏洞在于，Bash把函数体解析完了之后，去执行了函数定义后面的语句




bash初始化的一些操作：

Bash初始化时调用了builtins/evalstring.c里的parse_and_execute函数。是的，就等于Bash初始化环境时调用了类似其他高级语言中的eval函数，它负责解析字符串输入并执行。

其实Bash本身其实是想在启动时初始环境变量以及定义一些函数，而初始的方式就是去把 变量名=值 这样的赋值语句用eval去执行一次，如果出现了函数定义，就把它转变成函数，除此之外就不想让它干其他的了，可偏偏它在扫描到函数定义时，把它转变成函数的过程中不小心执行了后面的命令，这其实不是eval的错，这是做语法解析时没考虑严格

补充：

另外，很多人疑惑POC里{ :; }这句中的冒号和分号，分号作为结束符，而冒号的意思是什么也不做，类似Python里的pass，具体看Bash官方文档。

转载自知道创宇：http://blog.knownsec.com/2014/09/bash_3-0-4-3-command-exec-analysis/

原作者：知道创宇lu4nx