Fork me on GitHub

Linux鲜为人知的安全漏洞:不要将输出内容管道给你的shell

将wget或curl输出的内容管道给bash或者sh是一件非常愚蠢的事,例如像下面这样:

?
1
wget -O - http://example.com/install.sh | sudo sh

命令解释:wget的-O参数是指明输出文件名,一般后面接具体的文件名,这里接“-”表示“written to stdout”即写入到标准输出而不保存在本地磁盘,然后将标准输出里的内容作为输入传递给sudo sh命令。

随处可见 这样的例子。有时候它们也告诉你忽略证书(看看Salt),这些操作都是无声无息的。
 
我认为其无声无息(而不是在你机器上运行任意命令,基于用户代理来欺骗你)的主要原因是其失败模式(failure mode)。
 
如果连接中途关闭了会发生什么?让我们来一起见证吧!
?
1
(echo -n "echo \"Hello\""; cat) | nc -l -p 5555
 
命令解释:
(1)echo的-n参数指明不在输出结尾添加“\r\n”行为,即不显式添加换行符(默认是添加的);
(2)cat命令只有遇到换行符才会结束,否则一直处于挂起状态,直到遇到换行符结束;
(3)nc命令是网络检测工具,具体用法请Google,这里-l指处于监听模式,-p 5555表示在5555号端口处监听。
 
这将给连接端发送一条命令,但是并没有发送换行符,因此它会一直处于挂起状态。让我们连接此客户端:
?
1
nc localhost 5555 | sh
 
一开始,什么也不会发生。很好!如果我们用kill -9命令强制杀掉正在监听的netcat会发生什么呢?sh命令会执行其缓冲区里的部分命令吗?
?
1
2
nc localhost 5555 | sh
Hello
过程说明:
(1)如何杀掉正在监听的netcat?
首先用ps -auf | grep nc命令找到“(echo -n "echo \"Hello\""; cat) | nc -l -p 5555”该监听命令的进程pid,然后kill -9 该pid即可杀掉。
(2)“Hello”是杀掉nc监听进程后连接客户端方的输出结果,怎么输出的?
连接中途关闭后,“(echo -n "echo \"Hello\""; cat) | nc -l -p 5555”命令里的管道输入“(echo -n "echo \"Hello\"")”会被存入临时缓冲区内,此时连接方“nc localhost 5555 | sh”中的“nc localhost 5555”会接收该缓冲区的内容,也就是此时连接方的命令会变成:
?
1
(echo -n "echo \"Hello\"") | sh

当然输出Hello了。

 
从上面可以看出,真的执行了,要是换作wget或curl命令又会如何呢?
?
1
2
3
4
5
6
7
8
9
10
11
12
13
wget -O - http://localhost:5555 | sh
--2013-10-31 16:22:38--  http://localhost:5555/
Resolving localhost (localhost)... 127.0.0.1
Connecting to localhost (localhost)|127.0.0.1|:5555... connected.
HTTP request sent, awaiting response... 200 No headers, assuming HTTP/0.9
Length: unspecified
Saving to: `STDOUT'
 
    [          <=>                                                  ] 12          --.-K/s   in 8.6s
 
2013-10-31 16:22:47 (1.40 B/s) - written to stdout [12]
 
Hello

可见,结果是一样的。

如果这部分命令不是无害的echo而是下面的这些命令,又会怎样?
?
1
2
3
TMP=/tmp
TMP_DIR=`mktemp`
rm -rf $TMP_DIR
无害?真的吗?如果在命令“rm -rf $TMP ”被发送后立即关闭连接呢?这将删除temp目录里的一切文件,这是相当的有害啊
 
看起来貌似不大可能会发生这样的事情,但是这样的结果一旦发送,即使只发生一次,后果也可能是灾难性的,让我们悔之不及。
 
所以,朋友们,请不要将任何命令的输出内容作为输入管道给你的shell。

 

编译自《Hacker Monthly #45》中的“existential type crisis : Don't Pipe to your Shell”,本文在原文基础上加上自己的理解稍作修饰。

posted @   Alexia(minmin)  阅读(4272)  评论(0编辑  收藏  举报
编辑推荐:
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
阅读排行:
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· 展开说说关于C#中ORM框架的用法!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
无觅关联推荐,快速提升流量
点击右上角即可分享
微信分享提示