破殼漏洞(Shellshock)影響深遠(yuǎn)，利用起來似乎沒那么容易，所以對于破殼漏洞研究利用的新方法會間歇性地出現(xiàn)。眾所周知，利用破殼漏洞攻擊Web應(yīng)用程序一直是熱門研究對象，并且通過其他層面挖掘破殼的利用同樣是有可能的!

[[121118]]

破殼漏洞的挖掘其實也可以從其他一些應(yīng)用層協(xié)議實現(xiàn)的，包括郵件傳輸協(xié)議SMTP(Simple Mail Transfer Protocol)、信令控制協(xié)議SIP(Session Initiation Protocol)、動態(tài)主機(jī)設(shè)置協(xié)議DHCP(Dynamic Host Configuration Protocol)

用DHCP進(jìn)行一次攻擊，首先攻擊者必須自己重新配置一個合法的DHCP服務(wù)器或者邪惡地捕獲一個(Ta首先必須通過其他途徑接入互聯(lián)網(wǎng))，用來發(fā)送惡意信息請求響應(yīng)。

在DHCP客戶端和DHCP服務(wù)器的一個交互中(比如，一個IP地址請求)會出現(xiàn)如下情況：

客戶端向網(wǎng)絡(luò)發(fā)送一個DHCP DISCOVER封包(廣播包)，當(dāng)授權(quán)的DHCP服務(wù)器監(jiān)聽到客戶端發(fā)送的DHCP DISCOVER廣播時，會從未分配的地址范圍中選一個一個IP地址，連同其它 TCP/IP 設(shè)定，響應(yīng)給客戶端一個 DHCP OFFER封包。如果客戶端收到網(wǎng)絡(luò)上多臺 DHCP 服務(wù)器的響應(yīng)，只會挑選其中一個 DHCP offer(通常是最先到達(dá)的那個)，并且再向網(wǎng)絡(luò)發(fā)送一個DHCP request廣播封包，告訴所有 DHCP 服務(wù)器它將指定接受哪一臺服務(wù)器提供的 IP 地址。當(dāng) DHCP服務(wù)器接收到客戶端的 DHCP request之后，會向客戶端發(fā)出一個DHCP ACKNOWLEDGE響應(yīng)，以確認(rèn)IP租約配置的正式生效。

DHCP服務(wù)原理

趨勢科技安全漏洞研究員Akash Sharda在一篇博文中指出

“除了標(biāo)準(zhǔn)字段，DHCP還提供了可選字段(識別號碼)，在這種情況下，一些而已的服務(wù)器通過可選字段114發(fā)送包含惡意指令的命令”

“運(yùn)行有BASH漏洞的DHCP服務(wù)器接收到惡意字符串會導(dǎo)致任意代碼執(zhí)行!”

在提供的其他字段的也確認(rèn)了這些信息——服務(wù)器主機(jī)名字段、或者引導(dǎo)文件名字段，也可以通過一個專門制作的命令字符串來執(zhí)行惡意代碼!

BASH漏洞的攻預(yù)防其實是在悄無聲息地進(jìn)行著，本次DHCP利用蜻蜓點水般點到為止，僅供安全研究測試之用，以更好防護(hù)企業(yè)安全。

[參考信息來源Security]