首页 > 其他分享 >服务器入侵之找出隐藏字符的原理

服务器入侵之找出隐藏字符的原理

时间:2022-09-05 17:33:47浏览次数:109  
标签:MAP 找出 12 字符 READ PROT cat 服务器 st

目录

一、文章起源

我在文章 一次服务器被入侵的处理过程分享 中间有提及到我通过 cat/more 等命令查看文件,以及通过crontab -l 命令查看,一些定时任务和文件内容被隐藏了。

二、细讲问题

img

文件内容为何显示不了,究竟是什么东西在作怪,让我们一探究竟。

为了让大家也可以一起了解下, 文件我放到 阿里云oss 上, 有兴趣的可以下载下来看下。 隐藏文件内容示例

2.1、 文件在不同环境下的不同编译器打开的显示情况

Linux 通过 cat/more 打开

image-20220904224957123

Linux 通过 vim 打开

image-20220904225044057

Notepad++ 显示所有字符模式打开

image-20220904172411710

开始自己网上查了一下, 没有查到原因。凭借着做多年运维解决问题的经验,已经对问题的那种直觉感, 总觉得应该是 ;^M(我装到了)。

三、 借助场外资源

为了一探究竟,特意叫一个朋友拉我进了一个安全群,在群里询问下安全大佬。

3.1、双向文本(Bidirectional tex)

具体可以看下这个文章 https://tttang.com/archive/1339/

在安全群里问了一下,有位大佬提了一句 双向文本方向。 我都没有听说过这个东西。 双向文本到底是啥,科普下:双向文本就是一个字符串里面,包含了两种文字,既包含从左到右的文字,又包含从右向左的文字。

示例1:

文本中是

RLI a b c PDI

而显示实际是

c b a

示例2:

文本中是

RLI LRI a b c PDI LRI d e f PDI PDI

而实际上显示的是

d e f a b c

示例3:

代码显示内容为

1.png

实际执行的内容是

2.png

细看,这好像跟我们的场景还是不一样。 这个只是调换文字的顺序。饭可以乱吃,路不能乱走啊,得走正道。 继续瞅瞅。

3.2、 看看^M

有另外一个大佬说出来了一个问题, 所有的问题原因是 跟^M 有关。

如何在vim 中打出 ^M, ctrl + v +m 可以输出 ^M

大佬说到 ^M 是回车换行符。 cat 带有^M的一行字符串时,屏幕上会把 ^M 之后的内容在同一行换行后输出,这样就会覆盖掉^M之前的内容,导致你看到的这个内容效果。

我产生了疑问, ^M 是回车换行符, 这个有依据吗? 在下面有解释。

先不管这个,我们先测试一波。

示例一

[root@vm-12-12-centos tmp]# cat test 
1bc
[root@vm-12-12-centos tmp]# cat -A test 
abc^M1$

示例二

[root@vm-12-12-centos tmp]# cat -A test 
abc^M123$
[root@vm-12-12-centos tmp]# cat  test 
123

示例三

[root@vm-12-12-centos tmp]# cat -A test 
abc^M1    45$
[root@vm-12-12-centos tmp]# cat test 
1    45

通过上面的示例,我们可以知道,^M 后面的内容会覆盖 ^M 前面的内容, 入侵者就是利用这个原理,在 ^M 后面打了很多个空格覆盖掉前面实际定时任务的内容。 哎,这入侵者真是个人才。

img

3.3、真相大白

前面我产生了疑问, ^M 是回车换行符, 这个有依据吗? 我该怎么去查看这cat 命令把这个 ^M 给识别成啥了?

在憋了几天之后,终于想到了一个大器(strace)。 有点相见恨晚的感觉。

img

[root@vm-12-12-centos tmp]# strace cat test 
execve("/bin/cat", ["cat", "test"], 0x7ffe1d047e08 /* 19 vars */) = 0
brk(NULL)                               = 0x1c0d000
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f14da021000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=22981, ...}) = 0
mmap(NULL, 22981, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f14da01b000
close(3)                                = 0
open("/lib64/libc.so.6", O_RDONLY|O_CLOEXEC) = 3
read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0`&\2\0\0\0\0\0"..., 832) = 832
fstat(3, {st_mode=S_IFREG|0755, st_size=2156592, ...}) = 0
mmap(NULL, 3985920, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f14d9a33000
mprotect(0x7f14d9bf7000, 2093056, PROT_NONE) = 0
mmap(0x7f14d9df6000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1c3000) = 0x7f14d9df6000
mmap(0x7f14d9dfc000, 16896, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f14d9dfc000
close(3)                                = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f14da01a000
mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f14da018000
arch_prctl(ARCH_SET_FS, 0x7f14da018740) = 0
access("/etc/sysconfig/strcasecmp-nonascii", F_OK) = -1 ENOENT (No such file or directory)
access("/etc/sysconfig/strcasecmp-nonascii", F_OK) = -1 ENOENT (No such file or directory)
mprotect(0x7f14d9df6000, 16384, PROT_READ) = 0
mprotect(0x60b000, 4096, PROT_READ)     = 0
mprotect(0x7f14da022000, 4096, PROT_READ) = 0
munmap(0x7f14da01b000, 22981)           = 0
brk(NULL)                               = 0x1c0d000
brk(0x1c2e000)                          = 0x1c2e000
brk(NULL)                               = 0x1c2e000
open("/usr/lib/locale/locale-archive", O_RDONLY|O_CLOEXEC) = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=106176928, ...}) = 0
mmap(NULL, 106176928, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f14d34f0000
close(3)                                = 0
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 1), ...}) = 0
open("test", O_RDONLY)                  = 3
fstat(3, {st_mode=S_IFREG|0644, st_size=12, ...}) = 0
fadvise64(3, 0, 0, POSIX_FADV_SEQUENTIAL) = 0
read(3, "abc\r1    45\n", 65536)        = 12
1    45, "abc\r1    45\n", 12abc
)          = 12
read(3, "", 65536)                      = 0
close(3)                                = 0
close(1)                                = 0
close(2)                                = 0
exit_group(0)                           = ?
+++ exited with 0 +++

我们注意看, read 这里的内容。

read(3, "abc\r1    45\n", 65536)        = 12

我们发现 ^Mcat 命令执行过程中,转换为 \r , 那么 \r 又是什么? 接下来需要去翻阅 新华字典了。

image-20220905163052796

数据来源 https://man7.org/linux/man-pages/man7/ascii.7.html

\r : 回车符(carriage ret), 对应ASCII值13(缩写:CR)。 它的含义是什么: 回车 (控制字元)。

image-20220905163530438

https://zh.wikipedia.org/zh-cn/回车符

那我们前面通过 notepad++ 打开的线上的 CR 是不是就对上了。

image-20220905161721683

最终我们可以得出一个初步结论, 也就是:

  • 在 Linux Vim 中打印出来的 ^M cat 等一些命令会转换为 \r\r 也就是回车 在Linuxunix 中 表示它將光标返回到行首。 \r之后的内容也就会覆盖前面的内容。

四、注意

  1. 以后服务器如果入侵了,建议我们使用 cat -A 命令来查看。这样一些隐藏字符就可以看到了。

image-20220905172331875

参考文章:https://man7.org/linux/man-pages/man7/ascii.7.html

标签:MAP,找出,12,字符,READ,PROT,cat,服务器,st
From: https://www.cnblogs.com/operationhome/p/16658941.html

相关文章

  • CentOS7.9安装rsyslog+loganalyzer日志服务器详细配置
    1、CentOS7.9安装rsyslog+loganalyzer日志服务器详细配置 一、简介:随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。系统管理员遇到的常见......
  • 344 反转字符串
    题目344反转字符串编写一个函数,其作用是将输入的字符串反转过来。输入字符串以字符数组s的形式给出。不要给另外的数组分配额外的空间,你必须原地修改输入数组、使用......
  • 1048. 最长字符串链
    给出一个单词数组 words ,其中每个单词都由小写英文字母组成。如果我们可以 不改变其他字符的顺序 ,在wordA 的任何地方添加恰好一个字母使其变成 wordB ,那么我们......
  • 字符串格式化
    一、使用%:在%的左侧放置一个字符串,右侧放置希望被格式化的值,可以使用一个值,也可以使用多个值,多个值用放在一个元组或字典里。注意:如果使用列表或其它序列代替元组(或字典),那......
  • 连接服务器tips
    1.查看状态1.1GPU状况查看GPU占用情况,可以使用以下两种命令来查看watch-n1nvidia-smi或watch--color-n1gpustat--color,--n是代表刷新时间,1就是每秒刷新一次,ctrl......
  • leetcode1768-交替合并字符串
    https://leetcode.cn/problems/merge-strings-alternately/这题没什么好说的,特别简单。但是也学到了一些点。1.字符串res和另一个字符串中的某一个字符nums[i]不能通过......
  • 浏览器输入URL发生了什么:DNS解析、TCP握手、HTTP缓存、重定向、服务器状态码、渲染引
    输入地址,浏览器查找域名的IP地址。浏览器向该IP地址的web服务器发送一个HTTP请求,在发送请求之前浏览器和服务器建立TCP的三次握手,判断是否是HTTP缓存,如果是强制......
  • HTML编辑器如何能实现直接粘贴把图片上传到服务器中
    ​ 当前功能基于PHP,其它语言流程大致相同 1.新增上传wordjson配置在ueditor\php\config.json中新增如下配置:     /* 上传word配置 */    "wordAction......
  • 干货 | Docker 还可以搭建Web服务器nginx ?这么宝藏的吗?
    ⬇️点击“下方链接”,提升测试核心竞争力!>>更多技术文章分享和免费资料领取浏览器访问:https://hub.docker.com/_/nginx查看Nginx镜像详细信息。下载镜像,默认会下载last......
  • 前端传值字符串,包含逗号问题
    encodeURIComponent()函数_百度百科(baidu.com)//需要前端使用encodeURIComponent(value);编码,后端使用URLDecoder.decode(titles[i],"UTF-8");解码Stringtitle=URL......