原文:http://blog.jobbole.com/70971/
以 root 用户执行 rm –rf / 命令,然后观察下哪些文件或者指令会幸存下来。结果是什么也没少!因此你必须增加 —no-preserce-root 再试一遍:
|
1
|
# rm -rf --no-preserve-root /
|
当你按下 Enter 时,一些重要的工具,比如
|
1
2
3
4
5
6
7
|
/bin/ls
/bin/cat
/bin/chmod
/usr/bin/file
|
将会应声消失!但是你当前的 SSH 连接以及 bash 终端都还在,这表明所有 bash 相关的内建指令都没有受影响,比如 echo。
成为 Bash 达人
|
1
2
3
|
root@rmrf:/# ls
-bash: /bin/ls: No such file or directory
|
执行以上命令,发现已没有 ls 可用,但是 echo 和 fileglobs 还在。利用这些“幸存者”们,我们可以做点什么呢?
|
1
2
3
4
5
6
7
|
root@rmrf:/# echo *
dev proc run sys
# echo /dev/pts/*
/dev/pts/0 /dev/pts/3 /dev/pts/ptmx
|
注意!/dev,/proc,/run,/sys还在,我们一定要保存好它们。如果有了ls指令,那么对目录下内容的读取操作将会更加简单。
|
1
2
3
4
5
6
7
|
root@rmrf:/# for ii in /dev/pts/*; do echo $ii; done
/dev/pts/0
/dev/pts/3
/dev/pts/ptmx
|
许多 Reddit 用户指出,printf 仍是可用的。CAMH 说:printf 会将参数依次格式化到输出字符串中去。
|
1
|
root@rmrf:/# ls() { printf '%s
' ${1:+${1%/}/}*; }
|
既然在bash下可以定义函数,那么我们可以自建一个ls工具,虽然功能还不是很完善。
|
1
|
root@rmrf:/# ls() { printf '%s
' ${1:+${1%/}/}*; }
|
|
1
|
-bash: syntax error near unexpected token `('
|
不对啊,这种操作应该完全合法才对,难道 ls 已经被映射,或者它是其他命令的别名?
|
1
2
3
|
root@rmrf:/# type ls</code>
ls is aliased to `ls --color=auto'</code>
|
原来如此,我们上面的指令被扩展成了 ls--color=auto () { printf '%s
' ${1:+${1%/}/}*; }。那么,我们可以先使用unalias 指令,去掉 ls 与 ls—color 的关联。
|
1
|
root@rmrf:/# ls () { for ii in $1/*; do echo $ii; done }
|
|
1
2
3
4
5
6
7
8
9
|
root@rmrf:/# ls
/dev
/proc
/run
/sys
|
|
1
2
3
|
root@rmrf:/# ls /dev
/dev/pts
|
把函数存储到 utils.sh 文件
|
1
|
root@rmrf:/# echo 'ls () { for ii in $1/*; do echo $ii; done }' >> utils.sh
|
|
1
|
root@rmrf:/# source utils.sh
|
cat 命令怎么样实现呢?借助 read!read 是幸存者之一,使用 read 结合管道和重定向,一个基本的 cat 就基本成型了!
|
1
2
3
|
root@rmrf:/# (while read line; do echo "$line"; done) < utils.sh
ls () { for ii in $1/*; do echo $ii; done }
|
结合上述通过“幸存者”逐渐恢复一些指令的方法,以及 echo 可以写入任意多字节的特性,我们可以重新构建出 linux 的工具系统,并可以通过 curl 或者 wget 直接获得我们想要的二进制文件。首先,参照 echoed by others,获取 busybox。Busybox 是嵌入式 Linux 的瑞士军刀,内嵌 wget、dd、tar等许多工具。Eusebeîa 详细介绍了如何获得一个 busybox 的 escaped 版本,我在这里就不多做赘述了。
但是,还有一个问题。
即使我们 echo 了整个二进制文件需要的所有字节,这些二进制文件仍无法执行。没法启动 busybox!针对这个问题,早期的解决方法是找到一些可执行的程序,然后用 echo 覆盖它们。我们对 /usr 和 /bin 下的文件进行了诸如此类的改造,但这确实稍显复杂。
可以利用 shell 通配符和 bash 筛选出带有可执行位组的文件,记住要把目录排除在外。
|
1
|
executable () { if [[ ( ! -d $1 ) && -x $1 ]] ; then echo "$1"; fi }
|
找到了可执行文件!
|
1
|
root@rmrf:/# for ii in /*; do executable $ii; done
|
|
1
|
root@rmrf:/# for ii in /*/*; do executable $ii; done
|
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
|
root@rmrf:/# for ii in /*/*/*; do executable $ii; done
/proc/1107/exe
/proc/1136/exe
/proc/1149/exe
/proc/1179/exe
/proc/1215/exe
/proc/1217/exe
/proc/1220/exe
/proc/1221/exe
/proc/1223/exe
/proc/1248/exe
/proc/1277/exe
/proc/1468/exe
/proc/1478/exe
/proc/1625/exe
/proc/1644/exe
/proc/1/exe
/proc/374/exe
/proc/378/exe
/proc/471/exe
/proc/616/exe
/proc/657/exe
/proc/self/exe
|
太好了!但是别急,这些只是软链接到可执行文件的链接文件,原文件在磁盘上已经不存在了。那么现在我们要重新改写executable(),排除这些软链接。
|
1
|
root@rmrf:/# executable () { if [[ ( ! -d $1 ) && ( ! -h $1 ) && -x $1 ]] ; then echo "$1"; fi }
|
|
1
|
root@rmrf:/# for ii in /*/*/*; do executable $ii; done
|
|
1
|
root@rmrf:/# for ii in /*/*/*/*; do executable $ii; done
|
|
1
|
root@rmrf:/# for ii in /*/*/*/*/*; do executable $ii; done
|
|
1
|
root@rmrf:/# for ii in /*/*/*/*/*/*; do executable $ii; done
|
噩耗,什么输出也没有。或许可以利用内核层面的东西,毕竟,我们可以使用Magic Sysrq组合键重启busybox。
|
1
|
root@rmrf:/# echo 1 > /proc/sys/kernel/sysrq
|
|
1
|
root@rmrf:/# echo "b" > /proc/sysrq-trigger
|
我们现在已经骑虎难下了,周五的时候,我会继续研究下去。感谢关注,如果您发现了什么获取可执行位组的好方法,请及时知会我。
UPDATE: Reddit 用户 throw_away5046 提出了一种解决方法:a full solution to this。
获取一个可信任的、适用于本机架构的box
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
$ mkdir $(xxd -p -l 16 /dev/urandom)
$ cd $_
$ apt-get download busybox-static
$ dpkg -x *.deb .
$ alias encode='{ tr -d \n | sed "s#(..)#\\x\1#g"; echo; }'
$ alias upload='{ xxd -p | encode | nc -q0 -lp 5050; }'
$ upload < bin/busybox
|
执行 rm –rf 之后的机器
|
1
2
3
4
5
6
7
|
# cd /
# alias decode='while read -ru9 line; do printf "$line"; done'
# alias download='( exec 9<>/dev/tcp/{IP OF NON HOSED BOX}/5050; decode )'
# download > busybox
|
创建一个可以改变 busybox 访问权限的对象
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
|
$ cat > setx.c <<EOF
extern int chmod(const char *pathname, unsigned int mode);
int entry(void) {
return !! chmod("busybox", 0700);
}
char *desc[] = {0};
struct quick_hack {
char *name; int (*fn)(void); int on;
char **long_doc, *short_doc, *other;
} setx_struct = { "setx", entry, 1, desc, "chmod 0700 busybox", 0 };
EOF
$ gcc -Wall -Wextra -pedantic -nostdlib -Os -fpic -shared setx.c -o setx
$ upload < setx
|
以内建工具的方式使能 setx,使 busybox 可执行
|
1
2
3
4
5
6
7
|
# ( download > setx; enable -f ./setx setx; setx; )
# /busybox mkdir .bin
# /busybox --install -s .bin
# PATH=/.bin
|
操作如下:
