rm -rf 的“幸存者”

自娱自乐,我决定启动一台 Linux 服务器,然后以 root 用户执行 rm –rf / 命令,然后观察下哪些文件或者指令会幸存下来。结果是什么也没少!因此你必须增加 —no-preserce-root 再试一遍:

当你按下 Enter 时,一些重要的工具,比如

将会应声消失!但是你当前的 SSH 连接以及 bash 终端都还在,这表明所有 bash 相关的内建指令都没有受影响,比如 echo。

成为 Bash 达人

执行以上命令,发现已没有 ls 可用,但是 echo 和 fileglobs 还在。利用这些“幸存者”们,我们可以做点什么呢?

注意!/dev,/proc,/run,/sys还在,我们一定要保存好它们。如果有了ls指令,那么对目录下内容的读取操作将会更加简单。

许多 Reddit 用户指出,printf 仍是可用的。CAMH 说:printf 会将参数依次格式化到输出字符串中去。

既然在bash下可以定义函数,那么我们可以自建一个ls工具,虽然功能还不是很完善。

不对啊,这种操作应该完全合法才对,难道 ls 已经被映射,或者它是其他命令的别名?

 原来如此,我们上面的指令被扩展成了 ls--color=auto () { printf '%s\n' ${1:+${1%/}/}*; }。那么,我们可以先使用unalias 指令,去掉 ls 与 ls—color 的关联。

把函数存储到 utils.sh 文件

cat 命令怎么样实现呢?借助 read!read 是幸存者之一,使用 read 结合管道和重定向,一个基本的 cat 就基本成型了!

结合上述通过“幸存者”逐渐恢复一些指令的方法,以及 echo 可以写入任意多字节的特性,我们可以重新构建出 linux 的工具系统,并可以通过 curl 或者 wget 直接获得我们想要的二进制文件。首先,参照 echoed by others,获取 busybox。Busybox 是嵌入式 Linux 的瑞士军刀,内嵌 wget、dd、tar等许多工具。Eusebeîa 详细介绍了如何获得一个 busybox 的 escaped 版本,我在这里就不多做赘述了。

但是,还有一个问题。

即使我们 echo 了整个二进制文件需要的所有字节,这些二进制文件仍无法执行。没法启动 busybox!针对这个问题,早期的解决方法是找到一些可执行的程序,然后用 echo 覆盖它们。我们对 /usr 和 /bin 下的文件进行了诸如此类的改造,但这确实稍显复杂。

可以利用 shell 通配符和 bash 筛选出带有可执行位组的文件,记住要把目录排除在外。

找到了可执行文件!

太好了!但是别急,这些只是软链接到可执行文件的链接文件,原文件在磁盘上已经不存在了。那么现在我们要重新改写executable(),排除这些软链接。

 噩耗,什么输出也没有。或许可以利用内核层面的东西,毕竟,我们可以使用Magic Sysrq组合键重启busybox。

我们现在已经骑虎难下了,周五的时候,我会继续研究下去。感谢关注,如果您发现了什么获取可执行位组的好方法,请及时知会我。

UPDATE: Reddit 用户 throw_away5046 提出了一种解决方法:a full solution to this

获取一个可信任的、适用于本机架构的box

执行 rm –rf 之后的机器

创建一个可以改变 busybox 访问权限的对象

以内建工具的方式使能 setx,使 busybox 可执行

操作如下:

final.gif

5 收藏 4 评论

关于作者:honpey

(新浪微博:@Honpey) 个人主页 · 我的文章 · 1

相关文章

可能感兴趣的话题



直接登录
最新评论
跳到底部
返回顶部