官方提供的第一个补丁主要修改了：



1、参数类型和个数的限制，从注释中即可看出：

#define SEVAL_FUNCDEF 0x080       / only allow function definitions /


define SEVAL_ONECMD  0x100       / only allow a single command /

2、给builtins/evalstring.c文件里的parse_and_execute加入了类型判断：



if ((flags & SEVAL_FUNCDEF) && command->type != cm_function_def)

{

不合法，不是函数定义

break;

}



...



// 逻辑为真就表明参数不合法

if (flags & SEVAL_ONECMD)

break;



从上面即可看出补丁思路：如果不是函数定义、命令（command）超过一个就判为不合法。什么才算合法呢，Bypass POC给出了答案：

env X='() { (x)=>\' ./bash -c 'my echo hello'

只要函数体满足() {打头就行了。并且这条POC也满足单个命令（command），因为没出现“;”。



Bash Shell在eval的时候遇到语法问题(x)=被忽略了。接着就来到重点了，新的bash进程执行了这条命令：

>\my echo hello

然后在路径下生成了my文件，内容为hello。



Bash语法极其怪异，让我们逐一分析。



字符\是个转移字符，当会保留后面跟的文本，\my实际等于字符串my，如果没有\，新的bash进程会把my当作是命令。因为如果你在终端只输入\并回车，当前bash进程会阻塞等待你输入，在POC里，“输入”的就是my。



字符>就是传说中的重定向，假设要把进程A的输出写入到文件B中，就写成如下：

A > B



其实你写成> B A形式也可以，不信试试：

[lu4nx@lx-pc /tmp]$ > hi date

[lu4nx@lx-pc /tmp]$ cat hi

2014年 09月 27日 星期六 01:06:06 CST



这种前缀写法我也是头一次见到，这次分析Shell源码，看得出它的设计极其像一个Lisp解析器，我以为这种写法是照顾Lisper，因为
Bash结构基本上就是一个交互式（REPL）和eval，而Lisp解析器的核心就是eval，直到我看了Shell的Yacc语法分析
（parse.y）后，我才恍然大悟。重定向的语法定义如下：

redirection: '>' WORD

{

redir.filename = $2;

$$ = make_redirection (1, r_output_direction, redir);

}



这里表示，输出的文件是取自$2，$2在这段表示参数WORD，如果输入的语句是> A B，那么WORD的实参就是A;如果输入的语句是A > B，那么WORD的实参就是B。



所以POC的思路就是定义一个语法不合法的函数体，绕过函数定义的检测代码，然后执行了后面的命令，最终让Bash在初始化的时候执行了>\my echo hello。



最新测试方法：

env -i  X='() { (a)=>\' bash -c 'echo date'; cat echo

如执行结果如下则仍然存在漏洞：

bash: X: line 1: syntax error near unexpected token =' <br /> bash: X: line 1:'

bash: error importing function definition for `X'

Wed Sep 24 14:12:49 PDT 2014