关于AfterShock–CVE-2014-7169 测试脚本的解释
2014-09-28 20:21
393 查看
脚本的解析
(1)
X='() { (a)=>\’ 这个不用说了,定义一个X的环境变量。但是,这个函数不完整啊,是的,这是故意的。另外你一定要注意,\’不是为了单引号的转义,X这个变量的值就是 () { (a)=>\
(2)
其中的 (a)=这个东西目的就是为了让bash的解释器出错(语法错误)
(3)
语法出错后,在缓冲区中就会只剩下了 “>\”这两个字符
(4)
于是,这个神奇的bash会把后面的命令echo date换个行放到这个缓冲区中,然后执行
(5)
后面的 cat echo是查看文件echo的内容
(6)
执行相当于 >\
其中的 \ 在Shell中相当于换行
(7)
相当于 >echo date
(8)重定向(在Shell中 >A B 相当于 B > A)
相当于 date > echo 生成echo文件
(9)结束
env X='() { (a)=>\' sh -c "echo date"; cat echo
(1)
X='() { (a)=>\’ 这个不用说了,定义一个X的环境变量。但是,这个函数不完整啊,是的,这是故意的。另外你一定要注意,\’不是为了单引号的转义,X这个变量的值就是 () { (a)=>\
(2)
其中的 (a)=这个东西目的就是为了让bash的解释器出错(语法错误)
(3)
语法出错后,在缓冲区中就会只剩下了 “>\”这两个字符
(4)
于是,这个神奇的bash会把后面的命令echo date换个行放到这个缓冲区中,然后执行
(5)
后面的 cat echo是查看文件echo的内容
(6)
执行相当于 >\
其中的 \ 在Shell中相当于换行
(7)
相当于 >echo date
(8)重定向(在Shell中 >A B 相当于 B > A)
相当于 date > echo 生成echo文件
(9)结束
相关文章推荐
- 关于javascript脚本:测试与调试
- 关于性能测试的通俗解释
- 【脚本语言系列】关于Python测试工具unittest, 你需要知道的事
- 关于脚本测试过程中端口预期不一致的情况
- 关于 WinXP SP2 下的 CVE-2014-8636 漏洞利用
- 关于移动TD测试用户的800元月话费补贴的解释
- 关于性能测试中“并发”的解释
- 【脚本语言系列】关于Python测试工具lettuce, 你需要知道的事
- 关于外部测试字段解释冲突
- 【脚本语言系列】关于 JavaScript 测试,你需要知道的事
- 关于性能测试的通俗解释
- Flash Player 漏洞 cve 2014 0497 测试过程
- selenium+python关于登录的脚本代码,使用了读取excel以及向excel中写入测试结果的方法
- 【脚本语言系列】关于Python测试工具mock, 你需要知道的事
- Unity3d中关于脚本的启用和禁用的意义及脚本前面的复选框消失的解释
- rman脚本关于删除部分解释
- selenium+python关于登录的脚本代码,使用了读取excel以及向excel中写入测试结果的方法
- Oracle Security Alert for CVE-2014-7169
- 【脚本语言系列】关于Python测试工具Pyflakes, 你需要知道的事
- 【脚本语言系列】关于Python测试,你需要知道的事