Bash 3.0~4.3 命令执行漏洞分析
破壳漏洞最早追溯到 1989 年发布的 Bash 1.03,这个漏洞属于典型的代码执行漏洞,在需要“动态执行”的地方忽视了 Bash 本身的能力。漏洞相关报道:
- http://www.freebuf.com/news/44805.html
- http://www.csoonline.com/article/2687265/application-security/remote-exploit-in-bash-cve-2014-6271.html
1. 测试
用 Bash 执行以下代码:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
输出以下信息,表示存在漏洞:
vulnerable this is a test
打了补丁会输出以下错误:
bash: 警告: x: ignoring function definition attempt bash: x' 函数定义导入错误 this is a test
2. 原理分析
shell 里可以定义变量,POC 中定义了一个命名为 x 的变量,内容是一个字符串:
() { :;}; echo vulnerable
而根据漏洞信息得知,这个漏洞产生于 shell 在处理函数定义时,执行了函数体之后的命令。但这里 x 的值是个字符串,它是怎么转变成函数的呢。
实际这个和 Bash 实现有关,在 Bash 中定义一个函数,格式为:
function function_name() { body; }
当 Bash 在初始化环境变量时,语法解析器发现小括号和大括号的时候,就认为它是一个函数定义:
$ say_hello='() { echo hello world; }' $ export say_hello $ bash -c 'say_hello' hello world
上面代码在新的 Bash 进程中,say_hello 成了新环境中的一个函数,它的演变过程如下:
1、新的 bash 在初始时,扫描到环境变量 say_hello 出现小括号和大括号,认定它是一个函数定义
2、bash 把 say_hello 作为函数名,其值作为函数体
typeset 命令可以列出当前环境中所有变量和函数定义,我们用 typeset 看看这个字符串怎么变成函数的。继续上面定义的 say_hello 函数:
$ bash -c 'typeset' | fgrep -A 10 say_hello say_hello () { echo hello world }
这里新启动了个 Bash 进程,然后执行了 typeset,typeset 会返回当前环境(新的环境)中所有定义,这里清楚看到 say_hello 被变成函数了。
3. 漏洞产生原因
而这个漏洞在于,Bash 把函数体解析完了之后,去执行了函数定义后面的语句,为啥会这样呢。
通过结合补丁,我对 Bash 的源码简单分析了下,Bash 初始化时调用了 builtins/evalstring.c 里的 parse_and_execute 函数。是的,就等于 Bash 初始化环境时调用了类似其他高级语言中的 eval 函数,它负责解析字符串输入并执行。
继续看 parse_and_execute 的源码,关键点在这里:
218 else if (command = global_command) 219 { 220 struct fd_bitmap *bitmap;
它判断命令是否是一个定义成全局的,新的 bash 进程启动后,say_hello 不仅被解析成函数了,还变成全局的了:
$ bash -c 'typeset -f' say_hello () { echo hello world } declare -fx say_hello
declare 命令是 Bash 内置的,用来限定变量的属性,-f 表示 say_hello 是一个函数,-x 参数表示 say_hello 被 export 成一个环境变量,所以这句话的意思是让 say_hello 成了全局有效的函数。
其实 Bash 本身其实是想在启动时初始环境变量以及定义一些函数,而初始的方式就是去把“变量名=值”这样的赋值语句用 eval 去执行一次,如果出现了函数定义,就把它转变成函数,除此之外就不想让它干其他的了,可偏偏它在扫描到函数定义时,把它转变成函数的过程中不小心执行了后面的命令,这其实不是 eval 的错,这是做语法解析时没考虑严格,所以补丁加了这么一句话来判断函数体合法性:
if ((flags & SEVAL_FUNCDEF) && command->type != cm_function_def) {
...
}
4. 补充
另外,很多人疑惑 POC 里{ :; } 这句中的冒号和分号,分号作为结束符,而冒号的意思是什么也不做,类似 Python 里的 pass ,具体看 Bash 官方文档。