He visto muchos ataques de servidor web diferentes contra cgi-pages, pero he visto la carga maliciosa solo en los encabezados, podría ser
¿Alguien sabe si (o si no) podría usar POST-Vars u otros métodos para inyectar la carga útil?
En una solicitud CGI, los datos POST o PUT se pasan a través de una entrada estándar, no una variable de entorno. En consecuencia, solo se puede usar como un vector de ataque si el programa CGI que está siendo atacado coloca específicamente todos o parte de los datos en una variable de entorno antes de ejecutar bash , algo que es extremadamente raro para los programas CGI.
Para Apache, el protocolo HTTP también es un vector:
Una solicitud como:
GET /some/cgi () {(:);};xxx
Pondrá () {(:);};xxx en la variable de entorno SERVER_PROTOCOL .
Entonces, para detectar, es importante buscar la cadena () { en cualquier lugar del encabezado de la solicitud, no solo después de un :\s* .
Además, es posible que un nombre de usuario base64 en un encabezado Authorization termine en una variable de entorno para algún módulo de autenticación.
Es concebible que QUERYSTRING o PATH_INFO sea un vector con algunas implementaciones de servidor web (no Apache AFAICT).
A medida que los datos GET se pasan a través de la variable de entorno en la solicitud CGI, es por eso que el ataque de shellshock usa el encabezado de la solicitud HTTP GET para desencadenar el ataque. Hay otros vectores de ataque que también son posibles para ejecutar el ataque como DHCP. En este caso, el atacante puede explotar la vulnerabilidad al interactuar con una aplicación que utiliza variables de entorno BASH y cuyo contenido está determinado por la lectura de entrada de la red, como DHCP. Para explotar con éxito esta vulnerabilidad, el atacante debe controlar el valor de la variable de entorno. Como sabemos, el DHCP se utiliza para asignar las IP dinámicas, la dirección del servidor, etc. al cliente. Por lo tanto, para aprovechar esta vulnerabilidad, un atacante debe estar en la misma red y actuar como servidor DHCP. El escenario será como
** El cliente difunde el mensaje Descubrir DHCP:
[Atacante] < -------------------- [Destino]
El atacante envía un mensaje de oferta DHCP elaborado al objetivo:
[Atacante] -------------------- > [Objetivo]
El cliente envía un mensaje de solicitud DHCP al atacante:
[Atacante] < -------------------- [Destino]
El atacante envía un mensaje DHCP ACK diseñado al objetivo:
[Atacante] -------------------- > [Objetivo] **
El atacante puede incrustar la variable de entorno BASH en el campo de opción DHCP de DHCP Offer o DHCP ACK.
Lea otras preguntas en las etiquetas webserver shellshock