将wget或curl输出的内容管道给bash或者sh是一件非常愚蠢的事,例如像下面这样:

wget -O - http://example.com/install.sh | sudo sh

命令解释:wget的-O参数是指明输出文件名,一般后面接具体的文件名,这里接“-”表示“written to stdout”即写入到标准输出而不保存在本地磁盘,然后将标准输出里的内容作为输入传递给sudo sh命令。

随处可见 这样的例子。有时候它们也告诉你忽略证书(看看Salt),这些操作都是无声无息的。
 
我认为其无声无息(而不是在你机器上运行任意命令,基于用户代理来欺骗你)的主要原因是其失败模式(failure mode)。
 
如果连接中途关闭了会发生什么?让我们来一起见证吧!
(echo -n "echo \"Hello\""; cat) | nc -l -p 5555
 
命令解释:
(1)echo的-n参数指明不在输出结尾添加“\r\n”行为,即不显式添加换行符(默认是添加的);
(2)cat命令只有遇到换行符才会结束,否则一直处于挂起状态,直到遇到换行符结束;
(3)nc命令是网络检测工具,具体用法请Google,这里-l指处于监听模式,-p 5555表示在5555号端口处监听。
 
这将给连接端发送一条命令,但是并没有发送换行符,因此它会一直处于挂起状态。让我们连接此客户端:
nc localhost 5555 | sh
 
一开始,什么也不会发生。很好!如果我们用kill -9命令强制杀掉正在监听的netcat会发生什么呢?sh命令会执行其缓冲区里的部分命令吗?
nc localhost 5555 | sh

Hello
过程说明:
(1)如何杀掉正在监听的netcat?
首先用ps -auf | grep nc命令找到“(echo -n "echo \"Hello\""; cat) | nc -l -p 5555”该监听命令的进程pid,然后kill -9 该pid即可杀掉。
(2)“Hello”是杀掉nc监听进程后连接客户端方的输出结果,怎么输出的?
连接中途关闭后,“(echo -n "echo \"Hello\""; cat) | nc -l -p 5555”命令里的管道输入“(echo -n "echo \"Hello\"")”会被存入临时缓冲区内,此时连接方“nc localhost 5555 | sh”中的“nc localhost 5555”会接收该缓冲区的内容,也就是此时连接方的命令会变成:
(echo -n "echo \"Hello\"") | sh

当然输出Hello了。

 
从上面可以看出,真的执行了,要是换作wget或curl命令又会如何呢?
wget -O - http://localhost:5555 | sh

--2013-10-31 16:22:38--  http://localhost:5555/

Resolving localhost (localhost)... 127.0.0.1

Connecting to localhost (localhost)|127.0.0.1|:5555... connected.

HTTP request sent, awaiting response... 200 No headers, assuming HTTP/0.9

Length: unspecified

Saving to: `STDOUT'

    [          <=>                                                  ] 12          --.-K/s   in 8.6s

2013-10-31 16:22:47 (1.40 B/s) - written to stdout [12]

Hello

可见,结果是一样的。

如果这部分命令不是无害的echo而是下面的这些命令,又会怎样?
TMP=/tmp

TMP_DIR=`mktemp`

rm -rf $TMP_DIR
无害?真的吗?如果在命令“rm -rf $TMP ”被发送后立即关闭连接呢?这将删除temp目录里的一切文件,这是相当的有害啊。
 
看起来貌似不大可能会发生这样的事情,但是这样的结果一旦发送,即使只发生一次,后果也可能是灾难性的,让我们悔之不及。
 
所以,朋友们,请不要将任何命令的输出内容作为输入管道给你的shell。

编译自《Hacker Monthly #45》中的“existential type crisis : Don't Pipe to your Shell”,本文在原文基础上加上自己的理解稍作修饰。

Linux鲜为人知的安全漏洞:不要将输出内容管道给你的shell的更多相关文章

  1. linux中的输入从定向和输出重定向

    linux的标准的输入和输出为如下 我们在 linux中执行命令时,命令默认输出到console中,很多时候我们需要将命令输出到其他设备上如最常见的就文件中去,或者重文件中输入.那这时候就需要用到li ...

  2. Linux中记录终端(Terminal)输出到文本文件(转载)

    一,如何把命令运行的结果保存到文件当中? 这个问题太简单了,大家都知道,用 > 把输出转向就可以了 例子: [lhd@hongdi ~]$ ls > ls.txt [lhd@hongdi ...

  3. Linux Kernel 整数溢出漏洞

    漏洞名称: Linux Kernel 整数溢出漏洞 CNNVD编号: CNNVD-201311-062 发布时间: 2013-11-07 更新时间: 2013-11-07 危害等级:    漏洞类型: ...

  4. Linux kernel 内存损坏漏洞

    漏洞名称: Linux kernel 内存损坏漏洞 CNNVD编号: CNNVD-201310-143 发布时间: 2013-10-11 更新时间: 2013-10-11 危害等级: 中危   漏洞类 ...

  5. Linux Kernel 本地拒绝服务漏洞

    漏洞名称: Linux Kernel 本地拒绝服务漏洞 CNNVD编号: CNNVD-201308-090 发布时间: 2013-08-08 更新时间: 2013-08-08 危害等级:    漏洞类 ...

  6. Linux Kernel 远程拒绝服务漏洞

    漏洞名称: Linux Kernel 远程拒绝服务漏洞 CNNVD编号: CNNVD-201307-309 发布时间: 2013-07-18 更新时间: 2013-07-18 危害等级:    漏洞类 ...

  7. Linux seq_printf输出内容不完整的问题

    Linux seq_printf输出内容不完整的问题 写在前面的话:这是多年前在项目中遇到的问题,作为博客的开篇之作,有不足之处,请各位大侠斧正!谢谢! seq_file接口介绍 有许多种方法能够实现 ...

  8. Linux命令 ls -l 输出内容含义详解

    Linux命令 ls -l s输出内容含义详解   1. ls  只显示文件名或者文件目录 2. ls -l(这个参数是字母L的小写,不是数字1) 用来查看详细的文件资料 在某个目录下键入ls -l可 ...

  9. 《学渣Linux笔记》——更改ls命令的输出颜色和命令提示符颜色(二)

    <学渣Linux笔记>--更改ls命令的输出颜色和命令提示符颜色(二) II.更改命令提示符颜色 命令提示符的显示格式是由变量PS1决定的,首先我们查找GNU官方手册,发现如下内容(不是我 ...

随机推荐

  1. ListView的使用-模拟微博随便看看栏目【执行与优化】

    今天我们来讲述一下如何使用ListView来模仿微博随便看看栏目(ps:这是老师布置的作业,所以…),在前篇博客中,我们讲述了细解ListView之自定义适配器的使用,所以本篇我们不以特别详细的讲述( ...

  2. 安装Mysql提示1045错误解决方法

    MySQL安装提示一下错误 The security settings could not be applied to the database because the connection has ...

  3. UVa 1328 Period

    数据范围较大,故用KMP求循环节 之后由小到大枚举长度范围,若该长度下有循环节就输出答案 还要注意输出格式.之前测试时候连着一串presentation error也是悲伤 #include<b ...

  4. POJ2010 Moo University - Financial Aid(二分法)

    题目地址 分析:如果用二分法,关键是score和aid分开排序,score排序是为了充分利用中位数的性质,这样就可以确定m左右必须各选N/2个,到这之后有人是用dp求最优解,可以再次按照aid排序一次 ...

  5. <转>iOS9 Day-by-Day:iOS开发者必须了解的iOS 9新技术与API

    iOS9 Day-by-Day是作者Chris Grant新开的一个系列博客,覆盖了iOS开发者必须知道的关于iOS 9的新技术与API,并且还进行了实际操作演练,每篇文章中相关的代码Chris都会将 ...

  6. python时间模块-time和datetime

    时间模块 python 中时间表示方法有:时间戳,即从1975年1月1日00:00:00到现在的秒数:格式化后的时间字符串:时间struct_time 元组. struct_time元组中元素主要包括 ...

  7. JSP+Servlet+JavaBean统计页面在线访问次数

    统计页面浏览次数:使用的是servlet实现统计次数传递给JSP页面 说明:我做的都比较接地气,意思就是比较简单! 效果图如下: 上代码 counter.java(它真的好简单,啥事不干,只是定义一个 ...

  8. javascript变量、作用域和内存问题......

    1基本类型是指那些保存在栈内存的简单数据段,引用类型是指那些保存在堆内存中的对象,变量中保存的实际上只是一个指针. 2javascript中5种基本数据类型Undefined,Null,Boolean ...

  9. ubuntu14.04设置开机亮度

    1 查看自己的系统亮度的最大值: cd /sys/class/backlight 笔记本的显卡型号不同->亮度调节文件夹名会不同. 2 我的是intel_backlight cd intel_b ...

  10. How to set up an FTP server on Ubuntu 14.04

    How to set up an FTP server on Ubuntu 14.04 Setting up a fully-functional and highly secure FTP serv ...