linux安全漏洞

安全漏洞"/>

linux安全漏洞

将wget或curl输出的内容管道给bash或者sh是一件非常愚蠢的事，例如像下面这样：

1	wget -O - .sh | sudo sh

命令解释：wget的-O参数是指明输出文件名，一般后面接具体的文件名，这里接“-”表示“written to stdout”即写入到标准输出而不保存在本地磁盘，然后将标准输出里的内容作为输入传递给sudo sh命令。

随处可见  这样的例子。有时候它们也告诉你忽略证书（看看Salt），这些操作都是无声无息的。 我认为其无声无息（而不是在你机器上运行任意命令，基于用户代理来欺骗你）的主要原因是其失败模式（failure mode）。 如果连接中途关闭了会发生什么？让我们来一起见证吧！

1	(echo -n  "echo \"Hello\"" ; cat) | nc -l -p 5555

命令解释： （1）echo的-n参数指明不在输出结尾添加“\r\n”行为，即不显式添加换行符（默认是添加的）； （2）cat命令只有遇到换行符才会结束，否则一直处于挂起状态，直到遇到换行符结束； （3）nc命令是网络检测工具，具体用法请Google，这里-l指处于监听模式，-p 5555表示在5555号端口处监听。 这将给连接端发送一条命令，但是并没有发送换行符，因此它会一直处于挂起状态。让我们连接此客户端：

1	nc localhost 5555 | sh

一开始，什么也不会发生。很好！如果我们用kill -9命令强制杀掉正在监听的netcat会发生什么呢？sh命令会执行其缓冲区里的部分命令吗？

1 2	nc localhost 5555 | sh Hello

过程说明： （1）如何杀掉正在监听的netcat？ 首先用ps -auf | grep nc命令找到“(echo -n "echo \"Hello\""; cat) | nc -l -p 5555”该监听命令的进程pid，然后kill -9 该pid即可杀掉。 （2）“Hello”是杀掉nc监听进程后连接客户端方的输出结果，怎么输出的？ 连接中途关闭后，“(echo -n "echo \"Hello\""; cat) | nc -l -p 5555”命令里的管道输入“(echo -n "echo \"Hello\"")”会被存入临时缓冲区内，此时连接方“nc localhost 5555 | sh”中的“nc localhost 5555”会接收该缓冲区的内容，也就是此时连接方的命令会变成：

1	(echo -n  "echo \"Hello\"" ) | sh

当然输出Hello了。

从上面可以看出，真的执行了，要是换作wget或curl命令又会如何呢？

1 2 3 4 5 6 7 8 9 10 11 12 13

wget -O - http://localhost:5555 | sh --2013-10-31 16:22:38--  http://localhost:5555/ Resolving localhost (localhost)... 127.0.0.1 Connecting to localhost (localhost)|127.0.0.1|:5555... connected. HTTP request sent, awaiting response... 200 No headers, assuming HTTP/0.9 Length: unspecified Saving to: `STDOUT'      [          <=>                                                  ] 12          --.-K/s   in 8.6s 2013-10-31 16:22:47 (1.40 B/s) - written to stdout [12] Hello

可见，结果是一样的。

如果这部分命令不是无害的echo而是下面的这些命令，又会怎样？

1 2 3

TMP=/tmp TMP_DIR=`mktemp` rm -rf  $TMP_DIR

无害？真的吗？如果在命令“rm -rf $TMP ”被发送后立即关闭连接呢？ 这将删除temp目录里的一切文件，这是相当的有害啊。 看起来貌似不大可能会发生这样的事情，但是这样的结果一旦发送，即使只发生一次，后果也可能是灾难性的，让我们悔之不及。 所以，朋友们， 请不要将任何命令的输出内容作为输入管道给你的shell。

 

编译自《Hacker Monthly #45》中的“existential type crisis : Don't Pipe to your Shell”，本文在原文基础上加上自己的理解稍作修饰。