文章1:反弹shell汇总,看我一篇就够了
文章链接如下:
https://blog.csdn.net/weixin_44288604/article/details/111740527
-
知识铺垫:
- 解释了shell的概念,包括getshell、webshell和反弹shell。
- 讨论了shell的功能,即接收用户输入,解释命令,并将其传递给系统内核。
-
反弹shell的基础知识:
- 定义了反弹shell,并解释了为什么需要使用反弹shell,包括一些常见的使用场景。
-
Linux系统中的反弹shell方法:
- 详细介绍了多种在Linux系统中实现反弹shell的方法,包括bash、python、nc、php、exec、perl、awk、telnet和socat。
-
Windows系统中的反弹shell:
- 描述了在Windows系统中使用nc和MSF(Metasploit Framework)来实现反弹shell的方法。
-
获取交互式shell:
- 说明了如何通过执行特定的python命令来获取一个完全交互式的shell。
-
流量加密:
- 讨论了如何使用openssl工具对反弹shell的流量进行加密,以避免被网络审计设备检测。
文章2:反弹Shell原理及检测技术研究
文章链接如下:
https://www.cnblogs.com/LittleHann/p/12038070.html
-
反弹Shell的概念本质:
- 定义了反弹Shell,并用图示说明了其工作原理。
网络通信(network api)方式讨论:
- 分别讨论了使用
/dev/tcp或/dev/udp、socket TCP连接、ICMP和DNS进行网络通信的方法。
命令执行(system executor)方式讨论:
- 探讨了通过管道符、glibc API和直接系统调用执行命令的不同方式。
反弹Shell攻击组合方式讨论:
- 详细讨论了多种实现反弹Shell的技术组合,包括使用Bash、第三方软件(如nc、telnet、socat、Xterm)、脚本语言(如python、perl、ruby等)、Metasploit Framework(msf)以及特殊网络通信方式(如dns_shell和icmp_shell)。
反弹Shell检测思路:
- 提出了多种检测反弹Shell的方法,包括进程文件描述符异常检测、netlink监控、脚本文件和应用程序检测、无文件反弹Shell检测以及网络层通信特征检测。
文章3:反弹Shell多维检测技术详解
https://www.cnblogs.com/bonelee/p/16348635.html
-
背景信息:
- 介绍反弹Shell是黑客控制受害服务器的手段,特别是在受害服务器位于内网或受防火墙限制时。
反弹Shell攻击现状:
- 根据阿里云云安全中心的分析,展示了不同语言和工具使用率的统计图。
常规检测方法:
- 讨论了常见的检测方案,如正则匹配命令日志和流量日志,以及这些方法的不足。
分类检测思想:
- 提出了反弹Shell的本质是网络通信、命令执行和重定向方式的组合,并提出了检测方案需要考虑的多种场景因素。
反弹Shell的分类与检测:
- 第一类:直接重定向Shell的输入输出到Socket。
- 第二类:通过管道、伪终端等中转,再重定向Shell的输入输出。
- 第三类:编程语言实现标准输入中转,重定向命令执行的输入。
- 将反弹Shell分为三类,并为每类提供了检测方法:
云安全中心多维检测方案:
- 介绍了云安全中心如何使用多维度交叉检测方案来检测反弹Shell。
规则检测常规反弹shell:
- 提供了一些网络上反弹Shell的实例和相应的匹配规则。
反弹shell的实现方式:
- 列举了多种实现反弹Shell的编程语言和工具。
检测与防御:
- 讨论了如何及时发现Bash进程启动事件和检查Bash进程的异常行为。
原文始发于微信公众号(七夜安全博客):完全弄懂反弹shell手法和检测方式,看这3篇文章就够了
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论